远控免杀技术-Veil免杀
前言
Veil、Venom和Shellter是三大老牌免杀工具,Veil-Evasion是一个用python写的免杀框架,可以将任意脚本或一段shellcode转换成Windows可执行文件,还能利用Metasploit框架生成相兼容的Payload工具,从而逃避了常见防病毒产品的检测。
安装
安装分两种,一种是手动安装,一种是docker安全装,这里建议使用docker安装,方便快捷
镜像地址:
https://hub.docker.com/r/mattiasohlsson/veil/
在kali里安装docker后,添加docker加速镜像地址vi /etc/docker/daemon.json
{ "registry-mirrors": [ "https://1nj0zren.mirror.aliyuncs.com", "https://docker.mirrors.ustc.edu.cn", "http://f1361db2.m.daocloud.io", "https://registry.docker-cn.com" ] }
然后重启docker服务
systemctl daemon-reloadsystemctl restart docker
拉取veil镜像
docker pull mattiasohlsson/veil
拉取成功后,使用该镜像启动容器,并将生成免杀文件的目录映射到宿主机的/tmp目录中
docker run -it -v /tmp/veil-output:/var/lib/veil/output:Z mattiasohlsson/veil
出现以下界面,则安装成功
基础使用
veil中有两个功能模块,Evasion和Ordnance,其中Evasion来做文件免杀,命令帮助信息如下
Evasion中包含了很多种payload,我们先选择Evasion,再列出所有payload信息
use 1 list
metasploit免杀
veil中可以直接通过meterpreter生成免杀文件,这里我们选择使用python语言编码生成tcp的马
在选择的时候不用输入payload全名,使用use跟前面的序号就可以
use 28
然后设置好LHOST和LPORT,再使用generate生成。
输入一个文件名称,对生成的文件命名
选择生成方式,选择默认用pyinstaller生成exe文件(直接敲回车就行)
生成完成,因为在启动容器的时候已经将生成文件目录映射到宿主机的/tmp目录了,这样就不用使用docker cp往宿主机中拷贝了,直接在宿主机/tmp目录下找就可以
启动msf,配置msf过程不再详细赘述,平时反弹shell怎么配置就怎么配置,但是要跟上面设置的LHOST和LPOT相同
在window7虚拟机中运行木马,回弹成功
使用360杀毒对木马进行检测,未检测到木马
文件免杀
同样使用python进行编码,对cobaltstrike的木马进行免杀
cobaltstrike的基本使用在这里多赘述
启动teamserver,创建好监听器,生成payload
veil中选择29(aes)
直接输入generate
选择3,将刚才生成的payload.txt中的编码复制过来
后面生成文件的过程就一样了,同样选择pyinstaller生成,放到windows7虚拟机中运行,上线成功
使用360杀毒对木马进行检测,未检测到木马
参考文献
https://mp.weixin.qq.com/s?__biz=Mzg2NTA4OTI5NA==&mid=2247484786&idx=1&sn=ad9d407c1609fec077e5d58860de7385&scene=21#wechat_redirect