主页 > 网络知识 > 远控免杀从入门到实践(2)工具总结篇(5)

远控免杀从入门到实践(2)工具总结篇(5)

 

远控免杀从入门到实践(2)工具总结篇

 

Green-Hat-Suite 调用了 msfvenom 进行随机编码生成 shellcode,然后 Green-Hat-Suite 对 shellcode 进行多重免杀处理混淆,并最终编译生成不同的 exe 后门文件。虽然原理不算复杂,但两年前的作品,至今来说免杀效果仍很不错。

3.9 zirikatu 免杀 (VT 免杀率 39/71)

操作便利★★★★

免杀效果★★

推荐指数★★

详细文章链接:https://mp.weixin.qq.com/s/5xLuu5UfF4cQbCq_6JeqyA

zirikatu 是一个用 bash 编写的小脚本,依赖于 msf、mono、mcs 等软件,也是调用 msfvenom 生成 shellcode, 然后将 shellcode 嵌入 C# 代码,试用 Mcs 编译生成 exe 后门。

Mono 可以让.NET 程序跨平台运行在 Linux,BSD,Windows,MacOS,Sun Solaris,Wii, 索尼 PlayStation, 苹果 iPhone 等几乎所有常见的操作系统之上。从 Mono2.11 版本开始,采用的编译器叫 mcs,它的作用是将 C# 编译为 CIL(Common Language Infrastructure,通用中间语言,也叫 MSIL 微软中间语言,这个语言能运行在所有支持 CIL 的环境中)

virustotal.com 中 39/71 个报毒

 

远控免杀从入门到实践(2)工具总结篇

 

zirikatu 利用 msfvenom 生成 shellcode,之后再进行一定处理,编译生成 exe。原理比较简单,操作比较方便,免杀效果相比 Green-Hat-Suite 来说虽然一般,但能过 360、火绒和瑞星的确有点出人意料。

3.10 AVIator 免杀 (VT 免杀率 25/69)

操作便利★★★★

免杀效果★★★

推荐指数★★★

详细文章链接:https://mp.weixin.qq.com/s/JYMq_qHvnslVlqijHNny8Q

AVIator 使用 AES 加密来加密给定的 Shellcode 加密,生成一个包含加密有效负载的可执行文件,然后使用各种注入技术将 shellcode 解密并注入到目标系统,从而绕过杀毒软件的检测。

virustotal.com 中 25/69 个报毒

 

远控免杀从入门到实践(2)工具总结篇

 

AVIator 使用非常简单,小巧便携。可以将 shellcode 注入 explorer、notepad 或其他自定义程序,免杀效果还算可以,能过 360 杀毒和火绒动态和静态检测,瑞星静态查杀也可通过。

3.11 DKMC 免杀 (VT 免杀率 8/55)

操作便利★★★

免杀效果★★★★

推荐指数★★★

详细文章链接:https://mp.weixin.qq.com/s/UZqOBQKEMcXtF5ZU7E55Fg

DKMC 是 Don’t Kill My Cat (DKMC) 的简称,谷歌翻译为”不要杀害我的小猫咪”,这个名字也是挺少女心的…DKMC 是一种生成混淆的 shellcode 的工具,并把 shellcode 合成到图像文件中,最终依靠 PowerShell 执行最终的 shellcode 有效负载。

virustotal.com 上 BMP 文件的查杀率为 5/55,查杀出来为 BMP 木马

 

远控免杀从入门到实践(2)工具总结篇

 

virustotal.com 上 ps 代码的查杀率为 8/55,判断 ps 下载行为。

 

远控免杀从入门到实践(2)工具总结篇

 

DKMC 主要把 shellcode 注入到 bmp 图像中,然后使用 powershell 来执行其中的 shellcode,但是很多杀软都会监测 powershell 的执行动作,所以 virustotal.com 的静态检测不足以说明什么。

3.12 Unicorn 免杀 (VT 免杀率 29/56)

操作便利★★★★

免杀效果★★★

推荐指数★★★

详细文章链接:https://mp.weixin.qq.com/s/y7P6bvHRFes854EAHAPOzw

Magic Unicorn 是一个比较简单的小工具,主要是基于 Matthew Graeber 提出的 PowerShell 攻击技术以及 David Kennedy 和 Josh Kelly 提出的 powershell bypass 技术,把所有 payload 都转换成 powershell 代码。

Magic Unicorn 支持 cobalt strike、Metasploit 和自定义的 shellcode。

virustotal.com 上 ps1.exe 文件的查杀率为 36/69,转 exe 后略微有点惨。

说点什么吧
  • 全部评论(0
    还没有评论,快来抢沙发吧!