远控免杀专题(25)-Winpayloads免杀(VT免杀率18/70)

jt77

免杀能力一览表

几点说明：
1、上表中标识 √ 说明相应杀毒软件未检测出病毒，也就是代表了Bypass。
2、为了更好的对比效果，大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。
3、由于本机测试时只是安装了360全家桶和火绒，所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(2020.01.01)，火绒版本5.0.34.16(2020.01.01)，360安全卫士12.0.0.2002(2020.01.01)。
4、其他杀软的检测指标是在virustotal.com（简称VT）上在线查杀，所以可能只是代表了静态查杀能力，数据仅供参考，不足以作为免杀或杀软查杀能力的判断指标。
5、完全不必要苛求一种免杀技术能bypass所有杀软，这样的技术肯定是有的，只是没被公开，一旦公开第二天就能被杀了，其实我们只要能bypass目标主机上的杀软就足够了。

​一、Winpayloads介绍
Winpayloads，2019年开源的免杀payload生成工具，可以和Msf无缝对接，自身也可以作为独立远控软件来试用。主要是使用python对shellcode进行处理，然后编译成exe文件，从而达到免杀的效果。

二、安装Winpayloads
Winpayloads的常规安装比较复杂，依赖的软件比较多，需要安装winbind、impacket、Wine、wine32、Pywin32、pyinstaller、PsexecSpray、pycrypto等等，所以官方后来直接把常规安装给去掉了，直接建议使用docker，docke安装起来就非常简单了。

两条命令，十来分钟搞定。

docker pull charliedean07/winpayloads:latest
docker run -e LANG=C.UTF-8 --net=host -it charliedean07/winpayloads


以后再运行只需要
docker run -e LANG=C.UTF-8 --net=host -it charliedean07/winpayloads
就可以。
如果真想手动安装，可以查看官方
wiki：https://github.com/nccgroup/Winpayloads/wiki/Installation

三、Winpayloads说明
Winpayloads使用了多种技术对shellcode进行处理，进行免杀和后渗透。
1、UACBypass功能：使用了PowerShellEmpire的Invoke-BypassUAC.ps1
2、PowerUp提权：使用了 PowerShellEmpire的PowerUp.ps1
3、Invoke-Shellcode：使用了PowerSploit的Invoke-Shellcode.ps1
4、Invoke-Mimikatz：使用了PowerSploit的Invoke-Mimikatz.ps1
5、Invoke-EventVwrBypass：利用eventvwr绕过uac
6、Persistence权限维持
7、本地web服务器分发payload，使用了SimpleHTTPServer
8、使用Powershell在内存中加载shellcode
9、沙盒检测技术
10、加载自定义的shellcode
11、Psexec Spray成功连接后再目标主机上执行shellcode

四、利用Winpayloads生成后门
我这里以Windows Meterpreter Reverse HTTPS为例进行测试
在主菜单中选择4，然后输入msf监听的IP和端口

然后确认是否需要bypassUAC功能，需要的话还要选择操作系统类型，win7或win10，之后就可以生成我们需要的payload文件/root/winpayloads/ibzgrkwc.exe。

在测试机中执行

msf中监听windows/meterpreter/reverse_https可正常上线

打开杀软进行测试，火绒和360静态+动态均未报警。

virustotal.com平台免杀率为18/70，对exe来说还是不错的。

Winpayloads还可以使用Windows Reverse Shell模块直接生成一般的反弹payload，可用nc直接连接

nc监听4444端口,在测试机执行dakghzil.exe后可获得shell。

virustotal.com平台查杀率也为18/70

前面提到Winpayloads自身也可以作为独立远控软件来试用，在主菜单输入stager后，获得一串powershell代码，在测试机中执行后，可直接在Winpayloads中获得交互shell。

详细使用可参考https://youtu.be/eRl5H5wHqKY

​五、Winpayloads小结
Winpayloads使用比较简便，生成的payload免杀效果也是不错的，使用了多种技术来免杀和实施后渗透，唯一的缺点就是生成的payload都有点偏大，大约2.7M左右。

六、参考资料
Winpayloads - Stager Functionality:https://youtu.be/eRl5H5wHqKY