課程目標(biāo)

1.了解前邊學(xué)到的免殺原理在工具中的應(yīng)用

2.運(yùn)用前邊所學(xué)的免殺原理結(jié)合免殺的工具進(jìn)行針對(duì)火絨和360的免殺

教材內(nèi)容

一、課程引入

我們平時(shí)在制作msf的木馬時(shí)，如果直接放到目標(biāo)機(jī)器上進(jìn)行運(yùn)行，可能會(huì)有火絨、360等殺毒軟件進(jìn)行攔截，阻止我們的木馬執(zhí)行。為了讓我們的目標(biāo)主機(jī)可以順利執(zhí)行我們的木馬程序，在了解了免殺的原理之后，我們?cè)賮?lái)學(xué)習(xí)幾個(gè)簡(jiǎn)單的工具

二、常用的幾個(gè)免殺工具

1、web界面遠(yuǎn)控 manjusaka

項(xiàng)目地址：https://github.com/YDHCUI/manjusakamanjusaka 是一個(gè)基于web界面的仿 cobalt strike 做出的遠(yuǎn)控，生成的exe木馬具有一定的免殺功效。我們?cè)赾entos7上搭建服務(wù)端，來(lái)供我們的客戶(hù)端進(jìn)行訪問(wèn)

直接下載安裝包并上傳到我們的centos7服務(wù)器上，上傳成功后解壓并執(zhí)行

執(zhí)行成功后找到登陸界面的賬號(hào)和密碼，即可訪問(wèn)管理界面進(jìn)行登陸

登陸成功后就是manjusaka的主頁(yè)，里邊顯示我們上線的主機(jī)和可以執(zhí)行的操作

在目標(biāo)設(shè)定中生成我們需要執(zhí)行的木馬程序

點(diǎn)擊生成NPC，就可以對(duì)木馬程序的連接進(jìn)行設(shè)置

設(shè)置回調(diào)的地址是我們服務(wù)器地址的80端口，加密的密鑰隨意，類(lèi)型選擇exe即可，同樣這個(gè)可以對(duì)linux的系統(tǒng)進(jìn)行主機(jī)上線

點(diǎn)擊下載之后就可以上傳到目標(biāo)主機(jī)進(jìn)行執(zhí)行

可以躲避火絨和360的靜態(tài)查殺

可以執(zhí)行的命令列表如下

可以執(zhí)行系統(tǒng)命令或者查看當(dāng)前進(jìn)程

2、潮汐在線免殺平臺(tái)

項(xiàng)目地址：http://bypass.tidesec.com/

潮汐免殺平臺(tái)只需要我們上傳shellcode就可以對(duì)上傳的shellcode進(jìn)行處理，編譯成exe文件。打開(kāi)我們的項(xiàng)目地址

輸入msf生成的shellcode。選擇加密方式、密碼和系統(tǒng)，用python的加載器生成

生成成功后直接下載即可

所有的在線平臺(tái)的弊端就是時(shí)效性，因?yàn)槭枪_(kāi)的所以免殺的效果會(huì)慢慢變差，可以自己找一些其他的在線網(wǎng)站進(jìn)行免殺處理，潮汐平臺(tái)目前不免殺。

3. shellcode_loader

項(xiàng)目地址：

https://github.com/Axx8/ShellCode_Loader

使用加密算法對(duì)shellcode 進(jìn)行加密，但是因?yàn)槭枪_(kāi)的項(xiàng)目，所以這些項(xiàng)目我們以學(xué)習(xí)項(xiàng)目思路為主

將項(xiàng)目下載下來(lái)，執(zhí)行shellcode_encryption.exe shellcode.c ，即可生成一段密文shellcode

然后將密文放進(jìn)python文件的加載器，使用pyinstaller打包即可

生成exe文件不免殺，但是過(guò)程中使用的AES加密算法的python加載器值得學(xué)習(xí)

4.Ant-AntV

項(xiàng)目地址：

https://github.com/shellfeel/Ant-AntV

是一個(gè)實(shí)戰(zhàn)使用過(guò)的免殺工具，在處理shellcode的時(shí)候免殺的效果較好，使用pyinstaller的加載器進(jìn)行加載。

使用msf生成二進(jìn)制文件

進(jìn)入到項(xiàng)目后執(zhí)行

安裝依賴(lài)庫(kù)，將msf生成的二進(jìn)制文件shellcode.bin移動(dòng)到bean_raw下，重命名為beacon.bin，之后執(zhí)行命令打包成exe文件即可

對(duì)火絨和360均靜態(tài)免殺

5. 掩日

項(xiàng)目地址：

https://github.com/1y0n/AV_Evasion_Tool

掩日是適用于紅隊(duì)的綜合免殺工具，在安裝環(huán)境依賴(lài)之后即可使用生成的shellcode生成免殺的木馬程序

首先安裝tdm-gcc和64位go語(yǔ)言環(huán)境

然后打開(kāi)掩日即可

以通用免殺和進(jìn)程注入為例，使用生成的shellcode.c生成木馬文件，加密算法選擇默認(rèn)的柵欄，注入進(jìn)程為notepad.exe

可以過(guò)火絨和360的靜態(tài)查殺和火絨的動(dòng)態(tài)查殺

課程小結(jié)

通過(guò)本節(jié)的課程，我們可以看到不管是別人開(kāi)發(fā)的遠(yuǎn)控生成的木馬文件，還是在線的免殺平臺(tái)，還是一些公開(kāi)的免殺項(xiàng)目，我們都可以使用這些工具對(duì)msf生成的shellcode進(jìn)行處理，達(dá)到免殺的效果，工具處理過(guò)程中的思路我們也可以借助開(kāi)源代碼進(jìn)行學(xué)習(xí)，豐富我們對(duì)于免殺的理解。