安全矩阵

 找回密码
 立即注册
搜索
查看: 2461|回复: 0

远控免杀专题(25)-Winpayloads免杀(VT免杀率18/70)

[复制链接]

3

主题

10

帖子

55

积分

注册会员

Rank: 2

积分
55
发表于 2020-3-7 23:50:29 | 显示全部楼层 |阅读模式
本帖最后由 jt77 于 2020-3-7 23:51 编辑

免杀能力一览表

几点说明
1、上表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass。
2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。
3、由于本机测试时只是安装了360全家桶和火绒,所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(2020.01.01),火绒版本5.0.34.16(2020.01.01),360安全卫士12.0.0.2002(2020.01.01)。
4、其他杀软的检测指标是在virustotal.com(简称VT)上在线查杀,所以可能只是代表了静态查杀能力,数据仅供参考,不足以作为免杀或杀软查杀能力的判断指标。
5、完全不必要苛求一种免杀技术能bypass所有杀软,这样的技术肯定是有的,只是没被公开,一旦公开第二天就能被杀了,其实我们只要能bypass目标主机上的杀软就足够了。

​一、Winpayloads介绍
Winpayloads,2019年开源的免杀payload生成工具,可以和Msf无缝对接,自身也可以作为独立远控软件来试用。主要是使用python对shellcode进行处理,然后编译成exe文件,从而达到免杀的效果。

二、安装Winpayloads
Winpayloads的常规安装比较复杂,依赖的软件比较多,需要安装winbind、impacket、Wine、wine32、Pywin32、pyinstaller、PsexecSpray、pycrypto等等,所以官方后来直接把常规安装给去掉了,直接建议使用docker,docke安装起来就非常简单了。

两条命令,十来分钟搞定。

docker pull charliedean07/winpayloads:latest
docker run -e LANG=C.UTF-8 --net=host -it charliedean07/winpayloads


以后再运行只需要
docker run -e LANG=C.UTF-8 --net=host -it charliedean07/winpayloads
就可以。
如果真想手动安装,可以查看官方
wiki:https://github.com/nccgroup/Winpayloads/wiki/Installation

三、Winpayloads说明
Winpayloads使用了多种技术对shellcode进行处理,进行免杀和后渗透。
1、UACBypass功能:使用了PowerShellEmpire的Invoke-BypassUAC.ps1
2、PowerUp提权:使用了 PowerShellEmpire的PowerUp.ps1
3、Invoke-Shellcode:使用了PowerSploit的Invoke-Shellcode.ps1
4、Invoke-Mimikatz:使用了PowerSploit的Invoke-Mimikatz.ps1
5、Invoke-EventVwrBypass:利用eventvwr绕过uac
6、Persistence权限维持
7、本地web服务器分发payload,使用了SimpleHTTPServer
8、使用Powershell在内存中加载shellcode
9、沙盒检测技术
10、加载自定义的shellcode
11、Psexec Spray成功连接后再目标主机上执行shellcode

四、利用Winpayloads生成后门
我这里以Windows Meterpreter Reverse HTTPS为例进行测试
在主菜单中选择4,然后输入msf监听的IP和端口

然后确认是否需要bypassUAC功能,需要的话还要选择操作系统类型,win7或win10,之后就可以生成我们需要的payload文件/root/winpayloads/ibzgrkwc.exe。

在测试机中执行

msf中监听windows/meterpreter/reverse_https可正常上线

打开杀软进行测试,火绒和360静态+动态均未报警。

virustotal.com平台免杀率为18/70,对exe来说还是不错的。

Winpayloads还可以使用Windows Reverse Shell模块直接生成一般的反弹payload,可用nc直接连接

nc监听4444端口,在测试机执行dakghzil.exe后可获得shell。

virustotal.com平台查杀率也为18/70

前面提到Winpayloads自身也可以作为独立远控软件来试用,在主菜单输入stager后,获得一串powershell代码,在测试机中执行后,可直接在Winpayloads中获得交互shell。

详细使用可参考https://youtu.be/eRl5H5wHqKY

​五、Winpayloads小结
Winpayloads使用比较简便,生成的payload免杀效果也是不错的,使用了多种技术来免杀和实施后渗透,唯一的缺点就是生成的payload都有点偏大,大约2.7M左右。

六、参考资料
Winpayloads - Stager Functionality:https://youtu.be/eRl5H5wHqKY

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-27 23:44 , Processed in 0.015116 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表