本帖最后由 gclome 于 2020-5-11 23:14 编辑
原文链接:70.远控免杀专题(70)-终结篇
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!
前言
本系列文章从2019年12月底开始,原计划就是用大约一个月时间把各种常见免杀工具分析一下,也就是现在的工具篇部分。后来在学习过程中发现使用C、C++、Go语言对shellcode进行人工编译处理免杀效果也不错,于是把这类单独拿出来写成了第二部分代码篇,涉及7种常见编程语言对shellcode的免杀处理。再之后,为了让免杀能更完善,又把白名单程序梳理了一便,通过这个过程对很多白名单程序的原理和使用也有了一定的理解。 因为额外加了很多内容,这也导致免杀系列文章絮絮叨叨写了70篇,也从2019年12月一直更新到2020年4月,在梳理白名单篇时因为当时春节后刚复工时间和精力都比较有限,Tide安全团队的小伙伴nuoyan、CSeroad、VllTomFord、雨夜RainyNight、zhangyida帮助写了一部分白名单程序,雨夜RainyNight大佬还另外写了两篇免杀的实践文章,非常感谢小伙伴们的鼎力相助。 在免杀学习过程中也得到了很多大佬的指导,比如Green_m大佬、haya大佬,也参考了klion、shiying、-卿-等众大佬的博客,在此一并表示感谢。在整个免杀文章编写过程中生成了大约800多个远程样本、查阅了不下于几百篇文章,大部分链接我都放在了最后的参考资料,里面每一篇都比我写的这些要好很多。 本文只是把文章汇总一下方便查阅,没有实质技术内容,唯一有价值的可能就是最后的参考资料,这是免杀系列文章的源泉,大家可以收藏后多多揣摩。免杀系列文章虽然暂时告一段落,但后续还会有一些实战型的免杀技巧陆续更新,感兴趣的小伙伴可以多多交流。
文章概览工具篇内容 从专题2到专题25,共涉及21款较为常见的免杀工具。msf自免杀、Veil、Venom、Shellter、BackDoor-Factory、Avet、TheFatRat、Avoidz、Green-Hat-Suite、zirikatu、AVIator、DKMC、Unicorn、Python-Rootkit、DKMC、Unicorn、Python-Rootkit、ASWCrypter、nps_payload、GreatSCT、HERCULES、SpookFlare、SharpShooter、CACTUSTORCH、Winpayload等。 代码篇内容:从专题26到专题33,涉及7种编程语言对shellcode的免杀处理。C/C++、C#、python、powershell、ruby、go等。 白名单内容:从专题34到专题63,总计涉及113个白名单程序,包括Rundll32.exe、Msiexec.exe、MSBuild.exe、InstallUtil.exe、Mshta.exe、Regsvr32.exe、Cmstp.exe、CScript.exe、WScript.exe、Forfiles.exe、te.exe、Odbcconf.exe、InfDefaultInstall.exe、Diskshadow.exe、PsExec.exe、Msdeploy.exe、Winword.exe、Regasm.exe、Regsvcs.exe、Ftp.exe、pubprn.vbs、winrm.vbs、slmgr.vbs、Xwizard.exe、Compiler.exe、IEExec.exe、MavInject32、Presentationhost.exe、Wmic.exe、Pcalua.exe、Url.dll、zipfldr.dll、Syncappvpublishingserver.vbs等,在专题67中介绍了其他的80个不太常见的白名单程序。 其他内容:在整个免杀系列文章编写过程中,还穿插写了几篇免杀实践的文章,比如shellcode免杀实践、cs免杀实践、mimikatz免杀实践等几篇文章,水平比较一般,各位小伙伴凑合着看吧。
免杀能力一览1、表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass。 2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。 3、由于本机测试时只是安装了360全家桶和火绒,所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(2020.01.01),火绒版本5.0.34.16(2020.01.01),360安全卫士12.0.0.2002(2020.01.01)。 4、其他杀软的检测指标是在virustotal.com(简称VT)上在线查杀,所以可能只是代表了静态查杀能力,数据仅供参考,不足以作为杀软查杀能力或免杀能力的判断指标。 5、完全不必要苛求一种免杀技术能bypass所有杀软,这样的技术肯定是有的,只是没被公开,一旦公开第二天就能被杀了,其实我们只要能bypass目标主机上的杀软就足够了。 6、由于白名单程序加载payload的免杀测试需要杀软的行为检测才合理,静态查杀payload或者查杀白名单程序都没有任何意义,所以这里对白名单程序的免杀效果不做评判。
文章导航汇总
70.远控免杀专题(70)-终结篇:本文
参考资料
https://github.com/api0cradle/UltimateAppLockerByPassList/ https://github.com/api0cradle/LOLBAS https://www.shellterproject.com 杀毒软件绕过 https://github.com/trustedsec/unicorn py,一键生成多种后门 https://github.com/islamTaha12/Python-Rootkit windows 下 rootkit,反弹 meterpreter https://github.com/n00py/Hwacha linux 下快速生成 metepreter 等多种 payload https://github.com/Screetsec/Vegile msf 免杀,程序注入 https://github.com/MohamedNourTN/Terminator py2,msf 免杀 https://github.com/Veil-Framework/Veil msf 免杀 https://github.com/abedalqaderswedan1/aswcrypter py、bash,msf 免杀 https://github.com/Screetsec/TheFatRat java,msf 免杀,利用 searchsploit 快速搜索 https://github.com/pasahitz/zirikatu msf 免杀 https://github.com/govolution/avet msf 免杀 https://github.com/GreatSCT/GreatSCT msf 免杀 https://github.com/EgeBalci/HERCULES msf 免杀 https://github.com/trustedsec/nps_payload msf 免杀 https://github.com/4w4k3/Insanity-Framework py,payload 生成,过杀软,识别虚拟机,钓鱼,内存注入等 https://github.com/hlldz/SpookFlare Meterpreter,Empire,Koadic 等 loader/dropper 的生成器,可以绕过客户端检测和网络端检测的端点策略 https://github.com/pasahitz/regsvr32 使用 C#+Empire 实现最小体积免杀后门 https://github.com/malcomvetter/UnstoppableService 将自身安装为 Windows 服务且管理员无法停止/暂停服务的程序. C#编写 https://github.com/Cn33liz/StarFighters 基于 DotNetToJScript,利用 JavaScript 和 VBScript 执行 Empire Launcher https://github.com/mdsecactivebreach/SharpShooter 基于 DotNetToJScript 使用 js、vbs,用于检索和执行任意 CSharp 源码的 payload 创建框架 https://github.com/mdsecactivebreach/CACTUSTORCH 基于 DotNetToJScript 使用 js、vbs 生成恶意 payload https://github.com/OmerYa/Invisi-Shell 对 powershell 文件进行混淆 https://github.com/danielbohannon/Invoke-DOSfuscation 对 powershell 文件进行混淆,加密操作以及重新编码 https://github.com/danielbohannon/Invoke-Obfuscation 对 powershell 文件进行混淆,加密操作以及重新编码 https://github.com/Mr-Un1k0d3r/SCT-obfuscator Cobalt Strike SCT 有效载荷混淆器 https://github.com/tokyoneon/Armor bash,生成加密 Payload 在 macOS 上反弹 Shell https://github.com/Mr-Un1k0d3r/MaliciousMacroGenerator 宏混淆,其中还包括 AV/Sandboxes 逃避机制 https://github.com/Kkevsterrr/backdoorme py3、py2 多种类型的后门、shell 生成工具,可以自动维持权限 https://github.com/TestingPens/MalwarePersistenceScripts win 下权限维持脚本 https://github.com/mhaskar/Linux-Root-Kit py,simple,linux 下 rootkit https://github.com/PinkP4nther/Sutekh simple,rootkit,使普通用户获取 root shell https://github.com/threatexpress/metatwin 从一个文件中提取元数据,包括数字签名,并注入到另一个文件中 https://github.com/Mr-Un1k0d3r/Windows-SignedBinary 可以修改二进制文件的 HASH,同时保留微软 windows 的签名 https://github.com/secretsquirrel/SigThief py,用于劫持合法的数字签名并绕过 Windows 的哈希验证机制的脚本工具 https://github.com/9aylas/Shortcut-Payload-Generator 快捷方式(.lnk)文件 Payload 生成器.AutoIt 编写 https://github.com/GuestGuri/Rootkit 反弹一个 tcp 连接,将进程 id 绑定到一个空文件夹 https://github.com/secretsquirrel/the-backdoor-factory 可以生成 win32PE 后门测试程序,ELF 文件后门程序等 https://github.com/islamadel/bat2exe 将 bat 文件转换为 exe 二进制文件 https://github.com/tywali/Bat2ExeConverter 将 bat 文件转换为 exe 二进制文件 https://github.com/r00t-3xp10it/trojanizer 将两个可执行文件打包为自解压文件,自解压文件在执行时会执行可执行文件 https://github.com/r00t-3xp10it/backdoorppt 将 payload 更换图标 https://github.com/r00t-3xp10it/FakeImageExploiter 将 payload 更换图标。需要 wine 与 resourcehacker 环境 https://github.com/DamonMohammadbagher/FakeFileMaker 更换图标和名称 https://github.com/peewpw/Invoke-PSImage 将 PS 脚本隐藏进 PNG 像素中并用一行指令去执行它 https://github.com/Mr-Un1k0d3r/DKMC Don’t kill my cat 生成混淆的 shellcode,将 shellcode 存储在多语言图像中 https://github.com/deepzec/Bad-Pdf 生成一个 pdf 文件,内含 payload 来窃取 win 上的 Net-NTLM 哈希 https://github.com/3gstudent/Worse-PDF 向 PDF 文件中插入恶意代码,来窃取 win 上的 Net-NTLM 哈希 https://github.com/TideSec/BypassAntiVirus //远控免杀系列 https://github.com/Veil-Framework/Veil //PY.Msf免杀。1.5K。 https://github.com/Screetsec/TheFatRat //JAVA.msf免杀,利用searchsploit快速搜索 https://github.com/Screetsec/Vegile //SHELL/C.msf免杀,程序注入 https://github.com/MohamedNourTN/Terminator //PY2.msf免杀 https://github.com/abedalqaderswedan1/aswcrypter //py,bash.msf免杀 https://github.com/pasahitz/zirikatu //msf免杀 https://github.com/govolution/avet //msf免杀 https://github.com/GreatSCT/GreatSCT //msf免杀 https://github.com/EgeBalci/HERCULES //msf免杀 https://github.com/trustedsec/nps_payload //msf免杀 https://github.com/hlldz/SpookFlare //PY.客户端与网络端策略绕过,msf/empire/koadic生成加载混淆免杀。goodjob。 https://github.com/n00py/Hwacha //linux下快速生成metepreter等多种payload https://github.com/4w4k3/Insanity-Framework //PY.生成免杀payload,识别虚拟机,钓鱼,内存注入等 https://github.com/trustedsec/unicorn //PY.一键生成多种后门 https://github.com/Kkevsterrr/backdoorme //py3、py2。多种类型的后门、shell生成工具,可以自动维持权限 https://github.com/pasahitz/regsvr32 //C#.使用C#+Empire实现最小体积免杀后门 https://github.com/Cn33liz/StarFighters //基于DotNetToJScript,利用JavaScript和VBScript执行Empire Launcher https://github.com/mdsecactivebreach/SharpShooter //基于DotNetToJScript使用js、vbs,用于检索和执行任意CSharp源码的payload创建框架 https://github.com/mdsecactivebreach/CACTUSTORCH //基于DotNetToJScript使用js、vbs生成恶意payload https://github.com/OmerYa/Invisi-Shell //对powershell文件进行混淆 https://github.com/danielbohannon/Invoke-DOSfuscation //对powershell文件进行混淆,加密操作以及重新编码 https://github.com/danielbohannon/Invoke-Obfuscation //对powershell文件进行混淆,加密操作以及重新编码 https://github.com/Mr-Un1k0d3r/MaliciousMacroGenerator //VBA.宏混淆,其中还包括AV/Sandboxes逃避机制 https://github.com/9aylas/Shortcut-Payload-Generator 快捷方式(.lnk)文件Payload生成器.AutoIt编写
完结
我是Tide安全团队的重剑无锋,对远程免杀、安全开发、红蓝对抗感兴趣的小伙伴可以一起多交流。 完结撒花~!Bye!
| 
发表于 2020-5-11 23:13:10
