免杀
veil-evasion,veil-catapult
veil-evasion
-
属于veil-framework的一部分
-
用python编写
-
自动生成免杀payload
-
集成msf payload,支持自定义payload
-
集成各种注入技术和第三方工具(hypersion、PEScrambler、BackDoor Factiory)
-
集成各种开发打包运行环境(python、C、C#)
apt install veil-evasion #安装veil-evasion #启动update #更新list #查看可用的payload35 #例如35号payload如图所示#然后可以根据提示,进行参数设定#默认在/var/lib/veil-evasion/output
可以对生成的软件进行查杀
看看是不是免杀了
veil-catapult
-
实现payload的投递
-
集成veil-evasion生成免杀payload
-
使用impacket上传二进制payload文件
-
使用passing-the-hash执行payload
-
payload不写入硬盘,避免文件型病毒查杀
veil-catapult #启动#根据提示进行参数设置#先传了个powershell#然后传了个msf的payload#再用shell调用payload#最后反弹shell
免杀思路
之前的有写个新的shell、加密和不写入硬盘
一个新的思路是找到出发AV查杀的精确字符串,并修改
-
将执行程序分片成很多小片段
-
将包含MZ头的第一个片段与后续片段依次组合后交给AV查杀
-
重复以上步骤直至精确定位
-
工具:evade切片,ghex或hexeditor编辑16进制文件内容
shellter
使用正常的exe文件作为模板,将payload加入模板,会使exe功能损失
代码混淆,多态编码
集成部分msf payload
红客突击队于2019年由队长k龙牵头,联合国内多位顶尖高校研究生成立。团队从成立至今多次参加国际网络安全竞赛并取得良好成绩,积累了丰富的竞赛经验。红客突击队始终秉承先做人后技术的宗旨,旨在打造国际顶尖网络安全团队。其核心团队于2022年转型于信息安全研究院,并为政企提供安全服务与技术支持。
© Honker Security Commando
原文始发于微信公众号(中龙 红客突击队):免杀——veil-evasion,veil-catapult
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论