本专题文章导航
1、远控免杀专题(1)-基础篇:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg
2、远控免杀专题(2)-msfvenom隐藏的参数:https://mp.weixin.qq.com/s/1r0iakLpnLrjCrOp2gT10w
3、远控免杀专题(3)-msf自带免杀(VT免杀率35/69):https://mp.weixin.qq.com/s/A0CZslLhCLOK_HgkHGcpEA
4、远控免杀专题(4)-Evasion模块(VT免杀率12/71):https://mp.weixin.qq.com/s/YnnCM7W20xScv52k_ubxYQ
5、远控免杀专题(5)-Veil免杀(VT免杀率23/71):https://mp.weixin.qq.com/s/-PHVIAQVyU8QIpHwcpN4yw
6、远控免杀专题(6)-Venom免杀(VT免杀率11/71):https://mp.weixin.qq.com/s/CbfxupSWEPB86tBZsmxNCQ
7、远控免杀专题(7)-Shellter免杀(VT免杀率7/69):https://mp.weixin.qq.com/s/ASnldn6nk68D4bwkfYm3Gg
8、远控免杀专题(8)-BackDoor-Factory免杀(VT免杀率13/71):https://mp.weixin.qq.com/s/A30JHhXhwe45xV7hv8jvVQ
9、远控免杀专题(9)-Avet免杀(VT免杀率14/71):本文
文章打包下载及相关软件下载:https://github.com/TideSec/BypassAntiVirus
免杀能力一览表
几点说明:
1、上表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass。
2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。
3、由于本机测试时只是安装了360全家桶和火绒,所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(2019.12.12),火绒版本5.0.33.13(2019.12.12),360安全卫士12.0.0.2001(2019.12.17)。
4、其他杀软的检测指标是在virustotal.com(简称VT)上在线查杀,所以可能只是代表了静态查杀能力,数据仅供参考,不足以作为免杀的精确判断指标。
5、完全不必要苛求一种免杀技术能bypass所有杀软,这样的技术肯定是有的,只是没被公开,一旦公开第二天就能被杀了,其实我们只要能bypass目标主机上的杀软就足够了。
一、Avet介绍
Avet全称AntiVirus Evasion Tool,2017年在blackhat大会上公开演示,可对shellcode,exe和dll等多种载荷进行免杀处理,使用了多种不同的免杀技术,具有较好的免杀效果,据说在blackhat大会上演示时免杀效果震撼全场。
二、安装Avet
2.1、自动安装
我测试使用的parrot 4.4系统,类似于kali。
下载到本地:
git clone https://github.com/govolution/avet如果是64位系统,可以直接使用下面命令来进行安装
./setup.sh脚本会自动安装/配置wine和安装tdm-gcc。
安装后执行python ./avet_fabric.py即可。
看起来没什么问题,但是有时候在最后生成exe时会报错。。报错后还可以选择手动安装,逐个排除错误。
2.2、手动安装
1、下载到本地:
git clone https://github.com/govolution/avet2、然后安装wine
dpkg --add-architecture i386apt-get updateapt-get install wine -yapt-get install wine32 -y
3、安装tdm-gcc
下载tdm64-gcc
wget -c --no-check-certificate https://nchc.dl.sourceforge.net/project/tdm-gcc/TDM-GCC%20Installer/tdm64-gcc-5.1.0-2.exe安装tdm64-gcc
wine tdm64-gcc-5.1.0-2.exe
之后在Avet目录中执行python ./avet_fabric.py即可。
三、使用Avet进行免杀
执行python ./avet_fabric.py后会直接显示Avet支持的各个模块
我们随便选择一个模块来生成payload,就选2了:build_50xshikata_revhttps_win32.sh
基本上一路都是默认就可以,当然你也可以自己修改一些配置,可能会有更好的免杀效果,也可能生成的payload无法运行。。。
在msf里监听windows/meterpreter/reverse_https
在测试机器上执行output.exe
可正常上线
打开杀软测试一下,360和火绒全bypass
virustotal.com中17/71个报毒
四、小结
可能是因为知名度太高,默认输出的payload免杀能力只能算是一般,测试了几个模块,最好的免杀是13/71,最差的是36/71,不过相比msf原生的免杀已经好很多了。
而且Avet提供了强大的自定义功能,在build文件夹下可以看到所有的payload生成脚本,很多参数都可以自己设定。Avet框架也是比较成熟的,可以轻松的进行二次开发,很容易能开发出来自己的专用免杀工具。
五、参考资料
Msf木马过狗免杀之利用Avet过20+狗:https://zhuanlan.zhihu.com/p/38813500
AntiVirus Evasion Tool(avet)测试分析:https://3gstudent.github.io/3gstudent.github.io/AntiVirus-Evasion-Tool(avet)%E6%B5%8B%E8%AF%95%E5%88%86%E6%9E%90/
E
N
D
guān
关
zhù
注
wǒ
我
men
们
Tide安全团队正式成立于2019年1月,是新潮信息旗下以互联网攻防技术研究为目标的安全团队,目前聚集了十多位专业的安全攻防技术研究人员,专注于网络攻防、Web安全、移动终端、安全开发、IoT/物联网/工控安全等方向。
想了解更多Tide安全团队,请关注团队官网: http://www.TideSec.com 或长按二维码关注公众号:
原文始发于微信公众号(白帽子):远控免杀专题(9)-Avet免杀(VT免杀率14/71)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论