前言
在这花好月圆的中秋佳节,首先祝大家中秋快乐,阖家团圆!
正如苏轼所言:“但愿人长久,千里共婵娟。” 在这特别的时刻,『安全的矛与盾』决定为大家开放自己的官网 https://www.a2dzone.top/
,同时开放一批极为实用的福利工具 ,希望这些工具能助你的红队之旅畅行无忧。
官网简介
官网的地址是:https://www.a2dzone.top/,主要分为帖子、工具等功能模块。
工具功能是今天介绍的重头戏,微信扫码之后就可以直接使用,接下来,将为大家详细介绍这些实用工具的精彩之处。
多态shellcode编译器
先看效果,Cobalstrick生成的原生shellcode在VT上 27/61;
经过我们的工具生成的shellcode,0/61 看着真是舒服死了:
日常工作中的使用shellcode_loader的时候,免杀shellcode,通常有两种思路:
-
shellcode编码器
-
shellcode加密
类型 | 原理 | 缺点 |
---|---|---|
shellcode编码器 | shellcode编码器最初出现在metasploit工具中,设计之初并不全是为了shellcode规避,而是为了避免在漏洞利用出现坏字符。工作时分为如下几个步骤: 1. 获取 EIP 2. 取出秘钥进入循环,对后续的代码进行xor解密(SMC) 3. 跳转到解密后的代码执行 |
由于需要代码需要自修改,所以必须要对内存赋予 RWX 权限,现在的edr对此权限的内存盯的很紧,非常容易暴露。 |
shellcode加密 | 通过远程下载或者内存读取的方式获取到被RC4、TEA、DES、AES等加密算法加密的shellcode,然后通过注入、回调等方法执行shellcode。 | 无论如何最终都需要解密,最终在内存中shellcode会原型必露,逃不掉内存扫描。 |
为了避免上述的缺点,我采用的编译器代码生成和添加指令自动化随机变异的方法,主要有下面几个功能:
丰富的配置选项
选项可以单独或者组合开启,这就给shellcode的多样性带来了很大的变化。
-
anti-sandbox: 对抗沙箱分析 -
encrypt-str: 使用随机秘钥解密字符串 -
sleep-escape-sandbox: 自己研究吧,很有意思。可以突破沙箱进程链关联。 -
migrate-explorer: 自动将第二阶段的shellcode迁移到explorer.exe中 (目前测试还可以过数字核晶,低调使用,别给玩坏了) -
anti-debug: 反调试
代码随机变异
我们比较一下两次同样配置生成的shellcode,可以看到大部分的内容都是不相同的
这就是代码自动化随机变异的效果。
反反汇编
添加了很多花指令和跳转用于对抗反汇编,基本上很难看懂了。
这个代码的错乱程度谁看都得迷糊。
数字杀毒云查
上面的工具虽然可以生成shellcode了,但是你没法加载也不管事呀。怎么就加载呢?白加黑?pathch白文件?Anyway ....
怎么找白文件呢?通过数字杀毒找就可以了,输入hash查询你找的文件是否还是白的 (一般level=10白的比较彻底)。
文末福利
中秋节放福利了,现在发放10张100元的优惠券,有效期仅有3天,先到先得,过期不候。
原文始发于微信公众号(安全的矛与盾):惊天发现!这个神器竟让VT全绿Shellcode变的触手可及
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论