本文由 简悦 SimpRead 转码, 原文地址 blog.csdn.net
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!
1、远控免杀专题 (1)- 基础篇:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg
2、远控免杀专题 (2)-msfvenom 隐藏的参数:https://mp.weixin.qq.com/s/1r0iakLpnLrjCrOp2gT10w
3、远控免杀专题 (3)-msf 自带免杀 (VT 免杀率 35/69):https://mp.weixin.qq.com/s/A0CZslLhCLOK_HgkHGcpEA
4、远控免杀专题 (4)-Evasion 模块 (VT 免杀率 12/71):https://mp.weixin.qq.com/s/YnnCM7W20xScv52k_ubxYQ
5、远控免杀专题 (5)-Veil 免杀 (VT 免杀率 23/71):https://mp.weixin.qq.com/s/-PHVIAQVyU8QIpHwcpN4yw
6、远控免杀专题 (6)-Venom 免杀 (VT 免杀率 11/71):https://mp.weixin.qq.com/s/CbfxupSWEPB86tBZsmxNCQ
7、远控免杀专题 (7)-Shellter 免杀 (VT 免杀率 7/69):https://mp.weixin.qq.com/s/ASnldn6nk68D4bwkfYm3Gg
8、远控免杀专题 (8)-BackDoor-Factory 免杀 (VT 免杀率 13/71):https://mp.weixin.qq.com/s/A30JHhXhwe45xV7hv8jvVQ
9、远控免杀专题 (9)-Avet 免杀 (VT 免杀率 14/71):https://mp.weixin.qq.com/s/EIfqAbMC8HoC6xcZP9SXpA
10、远控免杀专题 (10)-TheFatRat 免杀 (VT 免杀率 22/70):https://mp.weixin.qq.com/s/zOvwfmEtbkpGWWBn642ICA
11、远控免杀专题 (11)-Avoidz 免杀 (VT 免杀率 23/71):https://mp.weixin.qq.com/s/TnfTXihlyv696uCiv3aWfg
12、远控免杀专题 (12)-Green-Hat-Suite 免杀 (VT 免杀率 23/70):https://mp.weixin.qq.com/s/MVJTXOIqjgL7iEHrnq6OJg
13、远控免杀专题 (13)-zirikatu 免杀 (VT 免杀率 39/71):本文
文章打包下载及相关软件下载:https://github.com/TideSec/BypassAntiVirus
几点说明:
1、上表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了 Bypass。
2、为了更好的对比效果,大部分测试 payload 均使用 msf 的windows/meterperter/reverse_tcp
模块生成。
3、由于本机测试时只是安装了 360 全家桶和火绒,所以默认情况下 360 和火绒杀毒情况指的是静态 + 动态查杀。360 杀毒版本5.0.0.8160
(2020.01.01),火绒版本5.0.34.16
(2020.01.01),360 安全卫士12.0.0.2002
(2020.01.01)。
4、其他杀软的检测指标是在virustotal.com
(简称 VT)上在线查杀,所以可能只是代表了静态查杀能力,数据仅供参考,不足以作为免杀的精确判断指标。
5、完全不必要苛求一种免杀技术能 bypass 所有杀软,这样的技术肯定是有的,只是没被公开,一旦公开第二天就能被杀了,其实我们只要能 bypass 目标主机上的杀软就足够了。
zirikatu 是一个用 bash 编写的小脚本,依赖于 msf、mono、mcs 等软件,也是调用 msfvenom 生成 shellcode, 然后将 shellcode 嵌入 C# 代码,试用 Mcs 编译生成 exe 后门。
Mono 可以让. NET 程序跨平台运行在 Linux,BSD,Windows,MacOS,Sun Solaris,Wii, 索尼 PlayStation, 苹果 iPhone 等几乎所有常见的操作系统之上。从 Mono2.11 版本开始,采用的编译器叫 mcs,它的作用是将 C# 编译为 CIL(Common Language Infrastructure,通用中间语言,也叫 MSIL 微软中间语言,这个语言能运行在所有支持 CIL 的环境中)
下载到本地
chmod +x zirikatu.sh
./zirikatu.sh
执行命令
chmod +x zirikatu.sh
./zirikatu.sh
还是使用最常规的 reverse_tcp 进行测试, 选项都比较简单,默认填写就可以
测试机执行,360 和火绒静态检测和动态检测都可以 bypass
那个弹窗是我故意加的,生成 payload 的时候不加就可以
msf 可正常上线
virustotal.com 中 39/71 个报毒, 以为能过 360 和火绒,免杀应该不错的...
zirikatu 利用 msfvenom 生成 shellcode,之后再进行一定处理,编译生成 exe。原理比较简单,操作比较方便,免杀效果相比专题 12 里的 Green-Hat-Suite 来说虽然一般,但能过 360、火绒和瑞星的确有点出人意料。
Msf&zirikatu 免杀结合利用:http://www.secist.com/archives/3113.html
扫描下方二维码学习更多安全知识:
Ms08067 安全实验室
专注于普及网络安全知识。团队已出版《Web 安全攻防:渗透测试实战指南》,《内网安全攻防:渗透测试实战指南》,目前在编 Python 渗透测试,JAVA 代码审计和二进制逆向方面的书籍。
团队公众号定期分享关于 CTF 靶场、内网渗透、APT 方面技术干货,从零开始、以实战落地为主,致力于做一个实用的干货分享型公众号。
官方网站:www.ms08067.com