ToB企服应用市场:ToB评测及商务社交产业平台

标题: 红蓝对抗经验分享：CS免杀姿势 [打印本页]

---

作者: 吴旭华    时间: 2022-9-5 17:58
标题: 红蓝对抗经验分享：CS免杀姿势
前言

红队在HVV中一般使用钓鱼实现突破边界，蓝队通过钓鱼实现溯源反制，但是都离不开一个好的免杀马，这里分享一下自己的免杀过程，过火绒、360杀毒、windows defender以及赛门铁克等主流杀软都没问题。
杀软工作原理

杀软的查杀方式有多种，比如特征识别，是基于各个厂商收集的病毒样本，依据病毒样本提取的病毒特征，所以杀软的能力在一定程度上也取决于病毒库的大小，这种基于特征识别一般是基于静态。启发式的工作原理基本上可以定义为动态查杀或者是机器学习方法的一种查杀手段，会依据可能执行程序或者关注应用系统重要区域行为而做出的查杀行为。
免杀手段

• 修改特征码，可以根据污点检测的方式定位到触发杀软规则的病毒样本特征，修改明显的特征在一定程度上是可以实现免杀的。
  
• 花指令免杀，在程序 shellcode 或特征代码区域增添垃圾指令，增加的垃圾指令不会影响文件执行，在动态查杀或者文件hash对比是校验会不一致。
  
• 加壳，比如upx加壳等，一般文件落地后对比哈希值也可绕过杀软。
  
• 二次编译，一般用于对shellcode进行二次编译bypass杀软。
  
• poweshell免杀，但是一般防护软件或者系统本身正常调用powershell应用程序的时候都会产生告警，一般的安全设备是过不了的，需要在命令上使用手段绕过安全设备监测。
  

免杀

CS生成payload
添加监听器，生成payload
[img=720,505.57377049180326]https://www.hetianlab.com/headImg.action?news=767fed43-4d59-4bc9-81af-a3038702f038.png[/img]
下载go-strip.exe,混淆二进制go编译信息
下载地址

https://cdn.githubjs.cf/boy-hack/go-strip/releases/download/v3.0/go-strip_0.3.4_windows_amd64.zip

[img=720,339.21259842519686]https://www.hetianlab.com/headImg.action?news=e9ec5f46-1e22-48b6-833d-1bd8d87918f7.png[/img]
运行脚本bypass

go run main.go

核心内容就是加密方式

shellcode二层加密。
【----帮助网安学习，以下所有学习资料免费领！加vx：yj009991，备注 “博客园” 获取！】
　① 网安学习成长路径思维导图
　② 60+网安经典常用工具包
　③ 100+SRC漏洞分析报告
　④ 150+网安攻防实战技术电子书
　⑤ 最权威CISSP 认证考试指南+题库
　⑥ 超1800页CTF实战技巧手册
　⑦ 最新网安大厂面试题合集（含答案）
　⑧ APP客户端安全检测指南（安卓+IOS）
这里没有直接放源码，因为担心样本被打标签，这里推荐几个项目，这里的话尽量使用go不建议python

https://github.com/TideSec/BypassAntiVirus
https://github.com/admin360bug/bypass
https://github.com/hack2fun/BypassAV/blob/master/bypass.cna

这里我修改了生成的exe。安装火绒，查杀
[img=650,262.10166666666663]https://www.hetianlab.com/headImg.action?news=ef1be263-f97d-4ec5-9171-40a7db8f2064.png[/img]
[img=650,405.54493055555554]https://www.hetianlab.com/headImg.action?news=8b24e69b-6d79-41fe-87ee-9ec32679630e.png[/img]
CS上线
[img=720,172.45202558635395]https://www.hetianlab.com/headImg.action?news=71fab053-9a9f-44ca-aee1-18def47c0d88.png[/img]
加壳

另外再加壳测试。地址

https://upx.en.softonic.com/

简单的压缩壳
[img=720,287.71084337349396]https://www.hetianlab.com/headImg.action?news=818796a7-53aa-4dfa-abf8-d5b9c30467eb.png[/img]

upx.exe -f Go_bypass.exe

[img=720,198.13267813267814]https://www.hetianlab.com/headImg.action?news=17312308-a368-431b-93a1-57eaee64d240.png[/img]
加壳后生辰的exe文件大小为406KB
[img=720,427.8404401650619]https://www.hetianlab.com/headImg.action?news=b631e4fa-d398-4e04-9b39-ca277e935763.png[/img]
可以看到加壳之前的文件大小为1011kb
[img=720,173.29787234042553]https://www.hetianlab.com/headImg.action?news=51347f37-6e0c-49bb-b243-1b7fff045150.png[/img]
修改加壳后的文件名为upx_Go_bypass方便确认上线状态
[img=720,183.8074398249453]https://www.hetianlab.com/headImg.action?news=b1095b42-ce12-416a-93be-5cb14df13150.png[/img]
成功上线，继续查看加壳后的免杀效果
[img=650,455.1408333333334]https://www.hetianlab.com/headImg.action?news=21fc3ec1-3284-4273-98e0-7dd46d9c3949.png[/img]
此时火绒对于有加壳前和加壳后的文件都未报毒
[img=720,264.61538461538464]https://www.hetianlab.com/headImg.action?news=4e2f8fdd-d304-4b8c-88e6-751b083f1237.png[/img]
虽然加壳前的报毒了，但是加壳后的未报毒。
[img=720,430.2242152466368]https://www.hetianlab.com/headImg.action?news=065f0c0b-7b8e-489c-a79c-9d08e316d60d.png[/img]
赛门铁克也未报毒,其它杀软不放图了。但是需要注意的是别使用云沙箱检测。
总结

多测试总会有新发现，实践起来相对稍微容易一点儿，不过需要注意免杀之后的效果是最重要的。
更多靶场实验练习、网安学习资料，请点击这里>>
 
搜索
复制

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！

---

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)

Powered by Discuz! X3.4