远控免杀专题(12)-Green-Hat-Suite免杀(VT免杀率23/70)

DL_one

声明：文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！

引用：https://mp.weixin.qq.com/s?__biz=Mzg2NTA4OTI5NA==&mid=2247484968&idx=1&sn=c0ce1ea29564a1b70140fb008cbabeaa&chksm=ce5e2449f929ad5f4ca2028c5f6d5c73ed7bcb4d3a8001d81d521554ca942d0fb8b310715530&mpshare=1&scene=23&srcid=&sharer_sharetime=1583629091056&sharer_shareid=5bb588e64afe9973e4bfa6d2b080cdf2#rd

本专题文章导航

1、远控免杀专题(1)-基础篇：https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg

2、远控免杀专题(2)-msfvenom隐藏的参数：https://mp.weixin.qq.com/s/1r0iakLpnLrjCrOp2gT10w

3、远控免杀专题(3)-msf自带免杀(VT免杀率35/69)：https://mp.weixin.qq.com/s/A0CZslLhCLOK_HgkHGcpEA

4、远控免杀专题(4)-Evasion模块(VT免杀率12/71)：https://mp.weixin.qq.com/s/YnnCM7W20xScv52k_ubxYQ

5、远控免杀专题(5)-Veil免杀(VT免杀率23/71):https://mp.weixin.qq.com/s/-PHVIAQVyU8QIpHwcpN4yw

6、远控免杀专题(6)-Venom免杀(VT免杀率11/71):https://mp.weixin.qq.com/s/CbfxupSWEPB86tBZsmxNCQ

7、远控免杀专题(7)-Shellter免杀(VT免杀率7/69)：https://mp.weixin.qq.com/s/ASnldn6nk68D4bwkfYm3Gg

8、远控免杀专题(8)-BackDoor-Factory免杀(VT免杀率13/71)：https://mp.weixin.qq.com/s/A30JHhXhwe45xV7hv8jvVQ

9、远控免杀专题(9)-Avet免杀(VT免杀率14/71)：https://mp.weixin.qq.com/s/EIfqAbMC8HoC6xcZP9SXpA

10、远控免杀专题(10)-TheFatRat免杀(VT免杀率22/70)：https://mp.weixin.qq.com/s/zOvwfmEtbkpGWWBn642ICA

11、远控免杀专题(11)-Avoidz免杀(VT免杀率23/71)：https://mp.weixin.qq.com/s/TnfTXihlyv696uCiv3aWfg

12、远控免杀专题(12)-Green-Hat-Suite免杀(VT免杀率23/70)：本文

文章打包下载及相关软件下载：https://github.com/TideSec/BypassAntiVirus

---

免杀能力一览表

几点说明：

1、上表中标识 √ 说明相应杀毒软件未检测出病毒，也就是代表了Bypass。

2、为了更好的对比效果，大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。

3、由于本机测试时只是安装了360全家桶和火绒，所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(2020.01.01)，火绒版本5.0.34.16(2020.01.01)，360安全卫士12.0.0.2002(2020.01.01)。

4、其他杀软的检测指标是在virustotal.com（简称VT）上在线查杀，所以可能只是代表了静态查杀能力，数据仅供参考，不足以作为免杀的精确判断指标。

5、完全不必要苛求一种免杀技术能bypass所有杀软，这样的技术肯定是有的，只是没被公开，一旦公开第二天就能被杀了，其实我们只要能bypass目标主机上的杀软就足够了。

---

一、Green-Hat-Suite介绍

Green-Hat-Suite是国内大佬Green-m的大作，Green-m大佬在freebuf和自己博客上https://green-m.me/写了很多免杀相关的文章，开始的几篇文章里面有一些知识点就是从他那学到的，而且msfvenom命令自动补全脚本也是出自他之手，之前有的知识点写的不太准备大佬也热情的给予指正，万分感谢！

Green-Hat-Suite也是和msf无缝对接的免杀工具，使用ruby开发，可在linux/windows上安装，使用非常简单，虽然已经接近两年没有更新了，但目前来看免杀效果仍然很不错。

二、安装Green-Hat-Suite

官方主页

• 
  

https://github.com/Green-m/green-hat-suite

1、在kali/ubuntu/debian中安装

需要安装mingw-w64、wine、metasploit等，如果之前已经安装则不需要

从github上clone下来

• 
  

git clone https://github.com/Green-m/green-hat-suite

安装依赖程序

1. apt-get install metasploit-framework
   
2. gem install os   
   
3. apt-get install mingw-w64
   
4. apt-get install wine
   
5. 
   
6. # 安装tdm-gcc
   
7. TMP=`mktemp /tmp/XXXXXXXXX.exe` && wget https://sourceforge.net/projects/tdm-gcc/files/latest/download -O $TMP && wine $TMP && rm $TMP

复制代码

2、windows安装

从github上clone下来

• 
  

git clone https://github.com/Green-m/green-hat-suite

在powershell中执行其中的install.ps1，也是安装ruby、msf、gcc、mingw-w64这些，作者说比较慢，我没在windows下安装，如有需要请自行在windows下安装测试。

三、Green-Hat-Suite使用说明

作者提供了一个使用说明

• 
  

https://github.com/Green-m/green-hat-suite/wiki/Use-green-hat-suite

进入Green-Hat-Suite文件夹，执行ruby greenhat.rb

根据提示选择payload就可以

其中有个其他选项的设置，可以参考msf的payload高级选项,在msf中使用advanced即可查看

感兴趣的可以看看lib目录下的一些处理过程。

四、生成后门

先用常规的reverse_tcp生成后门试一下，所有都用默认选项

不开杀软时，可正常上线

打开杀软进行测试，可过火绒的静态查杀，但行为查杀时360和火绒均能查杀

virustotal.com中27/71个报毒

因为Green-Hat-Suite使用了多种方式对shellocde进行处理，所以导致每次生成的shellcode都不同，被查杀的概率也不一样。

后来试了下其他几个payload，目前最好的查杀结果是17/71，还有几次都是在20-30/70范围内波动，也有个别的查杀率在30-40之间。

virustotal.com中23/70个报毒

五、小结

Green-Hat-Suite调用了msfvenom进行随机编码生成shellcode，然后Green-Hat-Suite对shellcode进行多重免杀处理混淆，并最终编译生成不同的exe后门文件。虽然原理不算复杂，但两年前的作品，至今来说免杀效果仍很不错。

参考

官方使用教程：https://github.com/Green-m/green ... Use-green-hat-suite