工具介绍
测试效果
1. 使用进程镂空(傀儡进程)winlogon.exe,Defender仅提示病毒威胁选择重启,但不会主动杀掉镂空的winlogon.exe,实现稳定上线。
2. 360鲲鹏引擎下无感知上线稳定运行
工具使用
1. 工具使用了python3.7.9 开发,安装相关依赖包:
pip3install-rrequirements.txtpython3StormBypassAV.py
4. 隐匿模式下实现了进程注入和进程镂空(傀儡进程)
- 进程注入将shellcode注入到指定进程中运行,木马程序本身被杀毒软件检测到后会被删除。
-
进程镂空通过运行指定程序并挂起,然后将已有的exe木马写入目标进程中运行,杀毒软件检测到的恶意进程是我们运行的目标程序。defender基于行为的监测技术能够发现被镂空的程序在执行恶意指令,因此会主动终止目标程序,但如果是winlogon.exe,它只会提示重启。
5. 实现了本地和网络分离免杀,由于shellcode每次生成的不一样,所以配置菜单中增加了SSH服务器,配置后可以自动将新生产的payload同步到web服务器上
6. 已知bug:
因为使用了动态导入,所以shellcode.py文件名中不能有多余的点号.
下载地址
https://github.com/StormEyePro/StormBypassAV
原文始发于微信公众号(Hack分享吧):5.15更新!免杀绕过Defender、360
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论