红蓝对抗经验分享:CS免杀姿势

打印 上一主题 下一主题

主题 691|帖子 691|积分 2073

前言

红队在HVV中一般使用钓鱼实现突破边界,蓝队通过钓鱼实现溯源反制,但是都离不开一个好的免杀马,这里分享一下自己的免杀过程,过火绒、360杀毒、windows defender以及赛门铁克等主流杀软都没问题。
杀软工作原理

杀软的查杀方式有多种,比如特征识别,是基于各个厂商收集的病毒样本,依据病毒样本提取的病毒特征,所以杀软的能力在一定程度上也取决于病毒库的大小,这种基于特征识别一般是基于静态。启发式的工作原理基本上可以定义为动态查杀或者是机器学习方法的一种查杀手段,会依据可能执行程序或者关注应用系统重要区域行为而做出的查杀行为。
免杀手段


  • 修改特征码,可以根据污点检测的方式定位到触发杀软规则的病毒样本特征,修改明显的特征在一定程度上是可以实现免杀的。
  • 花指令免杀,在程序 shellcode 或特征代码区域增添垃圾指令,增加的垃圾指令不会影响文件执行,在动态查杀或者文件hash对比是校验会不一致。
  • 加壳,比如upx加壳等,一般文件落地后对比哈希值也可绕过杀软。
  • 二次编译,一般用于对shellcode进行二次编译bypass杀软。
  • poweshell免杀,但是一般防护软件或者系统本身正常调用powershell应用程序的时候都会产生告警,一般的安全设备是过不了的,需要在命令上使用手段绕过安全设备监测。
免杀

CS生成payload
添加监听器,生成payload
[img=720,505.57377049180326]https://www.hetianlab.com/headImg.action?news=767fed43-4d59-4bc9-81af-a3038702f038.png[/img]
下载go-strip.exe,混淆二进制go编译信息
下载地址
https://cdn.githubjs.cf/boy-hack/go-strip/releases/download/v3.0/go-strip_0.3.4_windows_amd64.zip
[img=720,339.21259842519686]https://www.hetianlab.com/headImg.action?news=e9ec5f46-1e22-48b6-833d-1bd8d87918f7.png[/img]
运行脚本bypass
go run main.go

核心内容就是加密方式

shellcode二层加密。
【----帮助网安学习,以下所有学习资料免费领!加vx:yj009991,备注 “博客园” 获取!】
 ① 网安学习成长路径思维导图
 ② 60+网安经典常用工具包
 ③ 100+SRC漏洞分析报告
 ④ 150+网安攻防实战技术电子书
 ⑤ 最权威CISSP 认证考试指南+题库
 ⑥ 超1800页CTF实战技巧手册
 ⑦ 最新网安大厂面试题合集(含答案)
 ⑧ APP客户端安全检测指南(安卓+IOS)
这里没有直接放源码,因为担心样本被打标签,这里推荐几个项目,这里的话尽量使用go不建议python
https://github.com/TideSec/BypassAntiVirus
https://github.com/admin360bug/bypass
https://github.com/hack2fun/BypassAV/blob/master/bypass.cna
这里我修改了生成的exe。安装火绒,查杀
[img=650,262.10166666666663]https://www.hetianlab.com/headImg.action?news=ef1be263-f97d-4ec5-9171-40a7db8f2064.png[/img]
[img=650,405.54493055555554]https://www.hetianlab.com/headImg.action?news=8b24e69b-6d79-41fe-87ee-9ec32679630e.png[/img]
CS上线
[img=720,172.45202558635395]https://www.hetianlab.com/headImg.action?news=71fab053-9a9f-44ca-aee1-18def47c0d88.png[/img]
加壳

另外再加壳测试。地址
https://upx.en.softonic.com/
简单的压缩壳
[img=720,287.71084337349396]https://www.hetianlab.com/headImg.action?news=818796a7-53aa-4dfa-abf8-d5b9c30467eb.png[/img]
upx.exe -f Go_bypass.exe
[img=720,198.13267813267814]https://www.hetianlab.com/headImg.action?news=17312308-a368-431b-93a1-57eaee64d240.png[/img]
加壳后生辰的exe文件大小为406KB
[img=720,427.8404401650619]https://www.hetianlab.com/headImg.action?news=b631e4fa-d398-4e04-9b39-ca277e935763.png[/img]
可以看到加壳之前的文件大小为1011kb
[img=720,173.29787234042553]https://www.hetianlab.com/headImg.action?news=51347f37-6e0c-49bb-b243-1b7fff045150.png[/img]
修改加壳后的文件名为upx_Go_bypass方便确认上线状态
[img=720,183.8074398249453]https://www.hetianlab.com/headImg.action?news=b1095b42-ce12-416a-93be-5cb14df13150.png[/img]
成功上线,继续查看加壳后的免杀效果
[img=650,455.1408333333334]https://www.hetianlab.com/headImg.action?news=21fc3ec1-3284-4273-98e0-7dd46d9c3949.png[/img]
此时火绒对于有加壳前和加壳后的文件都未报毒
[img=720,264.61538461538464]https://www.hetianlab.com/headImg.action?news=4e2f8fdd-d304-4b8c-88e6-751b083f1237.png[/img]
虽然加壳前的报毒了,但是加壳后的未报毒。
[img=720,430.2242152466368]https://www.hetianlab.com/headImg.action?news=065f0c0b-7b8e-489c-a79c-9d08e316d60d.png[/img]
赛门铁克也未报毒,其它杀软不放图了。但是需要注意的是别使用云沙箱检测。
总结

多测试总会有新发现,实践起来相对稍微容易一点儿,不过需要注意免杀之后的效果是最重要的。
更多靶场实验练习、网安学习资料,请点击这里>>
 
搜索
复制

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
回复

使用道具 举报

0 个回复

倒序浏览

快速回复

您需要登录后才可以回帖 登录 or 立即注册

本版积分规则

吴旭华

金牌会员
这个人很懒什么都没写!

标签云

快速回复 返回顶部 返回列表