20144306《网络对抗》MAL_免杀原理与实践

一.基础问题回答

 1.杀软是如何检测出恶意代码的？

   （1）特征码：类似于人的生物特征，恶意代码可能会包含一段或多端数据能代表其特征。杀软一般会对文件内容进行静态扫描，将文件内容与特征库进行匹配，来检测已知的网络攻击。

          优点：检测效率高、能精确检测恶意软件类型和具体名称、能在恶意软件首次写入计算机时检测而非运行后。

          缺点：不能检测未知和变形的恶意软件、需频繁更新特征库、特征库会越来越臃肿。

   （2）启发式：就是以特定方式实现的反编译器和动态高度器，通过对有关指令序列的反编译逐步理解和确定恶意软件的动机。比如一段程序突然要调用格式化盘操作的BIOS指令功能，这就很可疑，然后又发现它没有参数选项，没有让我交互式输入执行指令，启发我觉得它就是短恶意代码。

          优点：可以检测0-day恶意软件、具有一定通用性。

          缺点：实时监控系统行为，开销稍多、容易滥杀无辜。

   （3）基于行为：基于行为的检测相当于是启发式的一种，或者是加入了行为监控的启发式。

          优点：可发现未知病毒、可相当准确地预报未知的多数病毒。

          缺点：可能误报、不能识别病毒名称、实现时有一定难度。

 2.免杀是做什么？

        您有没有过心爱的盗版被杀毒软件斩首的经历？您有没有过辛辛苦苦整理出来的工具包被杀毒软件团灭而“义愤填膺”的时候；您有没有过好不容易拿到权限，上传的后门还没来得及落地就被搞死的痛心时刻？免杀，它能做的就是避免这些事情的发生！使杀毒软件成为摆设！当然，除此之外免杀技术带给我们更多的，将是思想的飞跃与技术的成长。

 3.免杀的基本方法有哪些？

   （1）改变特征码：

       想要空手套白狼：加壳

       shellcode在手：encode编码、payload重新编译

       有源代码：翻译成其他语言

   （2）改变行为：

       就是收敛一下，不要那么明目张胆，反弹连接、使用隧道、加密通讯数据、在内存偷鸡摸狗、不对系统动手、混入忠良的代码混乱视听。

二.实验总结与体会

         告别了手动信任，veil-evarion和msf结合很好用，再加壳的话报毒率会大幅下降；单独给裸奔后门加壳的话，我用hyperion会报毒，但是upx反而没事；shellcode很强大，经处理的shellcode更强大，而且shellcode操作性很好，可以随意定制，c语言调用shellcode方式更多.我觉得混合使用这些方法可以搞出一个套娃后门，绝对可以隐藏的很深。

      杀毒软件并不万能，特征码隐藏会让其杀毒准确大幅下降，正如我前面黄色阴影部分写到的一样，特征码杀软的一大缺点：不能检测未知和变形的恶意软件是个很好地切入点，隐藏行为很难，但是变形相对容易。

     侵入一台自以为防护到位的电脑真的很容易，怪不得机要领域设备都要严加看守，光杀软真的不够，安全防护要多方面配合，调用防火墙、ids的力量，或者配备专门的维护员。诡异的现象大概都是切入点吧。

      visual studio 安装速度慢死了......

三.离实战还缺些什么技术或步骤？

         胆子和脑子

       怎么自己生成定制的shellcode，可以进行各种变形加密，c调用方式也很多样，难的是根据什么样的漏洞写什么样的后门。

       当你有了一个精彩的后门要怎么神不知鬼不觉送给对方？

       怎么让这个后门真正变透明，藏在什么位置？（和正常软件捆绑？）怎么隐藏后门和母星之间的通信？（隧道技术？）对方不会某天找文件突然撞见.....

       隐藏痕迹？就算对方撞见了也不知道是谁干的[smile]

四.实践过程记录

 1.如何评价免杀效果？

         其实很客观的就是能躲过多少杀软的追踪，使用集成杀软网站：http://www.virscan.org/ 

       最差标准：上周msf做的那个后门，什么都不做上传看看结果。

       

         刚从虚拟机放出来就死了，手动信任后上传：

       

          

         结果感人，39款中21款杀软都报毒了，那就看看接下来的操作能不能减少报毒率。

 2.Msfvenom使用编码器

         先编码个10遍：

       

         再试一下：

         

         没有变化[微笑]，而且依旧被360弄死，这个方法早已被各类AV厂商识破。

 3.使用Veil-Evasion

         Veil-Evasion是一个与Metasploit有点类似的免杀平台，用其他语言如c,c#,phython,ruby,go,powershell等重写了meterperter，然后再通过不同方式编译成exe。

       用python重写一个：

      

       测试一下v1版的后门的伪装性：

      拖拽到虚拟机外Desktop，360杀毒软件不报毒了，再专门扫描一下桌面文件夹。

       

       

      

      没报毒~~~扫描也只剩下了9个

      回连测试一下：

     新生成的rc文件被保存在了veil-output下的handlers目录下！既然有了rc文件，那么我们就可以方便的使用MSF进行调用了。

     

      msfconsole  -r 20144306_v1_python1.exe

      

     在另一台windows主机上运行新生成的免杀后门软件：

      

      在kali上选择sessions -i -1：

      

      

      获取shell

      

      成功~嚯嚯嚯

 4.C语言调用Shellcode

      使用msf来生成一个c语言格式的Shellcode数组：

     

      vs安装速度感人.....

     

      去洗个头.......

     在vs中用c语言调用shellcode生成新后门20144306.exe，杀软来问候一下：

     

       

       报毒了......

       再来，对shellcode进行异或及末端加1加密，重新生成20144306_encode.exe：

       

       专门扫描一下：

      

      

       只有一款报毒！！！！！

       回连没问题：

       

      4306_v4这个版本我很满意~~

 5.加壳

    （1）压缩壳UPX

     我把自己之前用veil-evasion生成的20144306_v1_python1.exe加了个壳生成了v1++版本：

     

      杀软杀不出来：

     

        扫描也成功下降到5个，欣慰：

        

         回连没毛病：

         

   （2）加密壳Hyperion

       把我的v1版本升级成v2试试：

       

         查杀一下：

         

          word妈，反而报毒了，v2炮灰......说好的加密加壳呢？桑心，不回连了。

          又试了一个不编码的后门基本版软件，还是报毒，我严重怀疑这是个脱壳软件.......

         

          最后总结下：

        一共6个版本的伪装后门：

       v0版本：编码器版本----炮灰

       v1版本：python重写（http协议）------360杀不出来，报毒率9/39

       v1++版本：python重写（http协议）+upx加壳--------360杀不出来，报毒率5/39

       v2版本：python重写（http协议）+hyperion加壳--------炮灰，360直接弄死

       v3版本：c调用shellcode-------360能杀出来，报毒率12/39

       v4版本：c调用shellocode异或末端加1加密-------godlike，360杀不出来，报毒率1/39

     

       为了增加隐蔽性，我又给报毒率最低的v4版本换了个图标改了名字~~

       --------》没错，这是后门！！

       点它吧。