快速生成免杀木马

admin
admin
admin
138880
文章
114
评论
2024年4月10日12:14:58评论53 views字数 2727阅读9分5秒阅读模式

快速生成免杀木马

1

工具开发需求

1、原版项目已经不免杀了,需要bypass常见杀软。

2、在HW、攻防演练等场景下,需要快速生成免杀木马,并且保证文件md5都不一样。

3、节约时间,不用在项目上,投入专门的人员进行代码编写。

4、高度可拓展和自定义。

原版程序:

https://github.com/knownsec/shellcodeloader二开作者:Wangfly请大家多多提交issues,感谢!!!

2

魔改二开

1、远程加载将Shellcode和loader分开,loader里面只保留Shellcode的URL地址,方便随时销毁。

2、加入Hex、Base64(自定义)加密算法,保留原本的流加密算法,以当前时间戳为key,进行对URL加密,将其保存在资源节中。

3、木马名称随机化,加上流加密算法,使得每次生成的木马md5都不一样。

4、加入了AES(外部传key)、Base64(自定义)、RC4(自定义)算法加密解密Shellcode。

5、高危Windows API,全部采用动态加载的方式,能够使用NT函数替换的全部进行了替换,部分模板的函数API进行了UnhookPatch。

6、针对卡巴斯基、Norton等对内存查杀较严的杀软,采取IAT Hook和VEH Hook对Beacon进行内存加密+配合C2profile的Sleep_mask选项和自定义通信方式基本无解。

7、针对Norton、360qvm等静态查杀较严的杀软,使用Arkari进行代码混淆。

8、增强完善了反沙箱、反调试。

3

上线方式

64位

快速生成免杀木马

32位

快速生成免杀木马

4

编译设置

1、Release进行编译,设置为MT、/arch:x64、语言标准选择C++ 17,生成的文件是DAT后缀的。

2、若你的vs2022有安装集成Arkari,那么免杀效果更好,没有的话,普通生成即可。

3、模板代码选择不生成Debug调试信息和清单文件,还需要调整堆栈保留大小为3MB。

5

食用方式

1、加密Shellcode,选择Stagerless,生成RAW格式。

快速生成免杀木马

2、生成的beacon.bin放入程序目录下,然后运行命令加密,AES key可以自定义(256bit)。

encbin.exe bin文件 AES key

快速生成免杀木马

3、将P.bmp上传至云端生成链接,链接必须是访问后,自动下载那种。

快速生成免杀木马

4、URL填入,AES key填入,选择模板生成即可。

快速生成免杀木马

6

免杀效果

整体免杀效果

卡巴斯基企业版

快速生成免杀木马

Norton

启发式查杀很厉害,需要给木马加入正常程序的图标、版本信息、清单、数字签名。必须使用Bof操作,shell运行就掉线。

快速生成免杀木马

ESET

自定义扫描了系统内存和桌面文件。

快速生成免杀木马

360全家桶(物理机)

QVM引擎(很疯狂,大部分时候真不是代码问题)需要做和Norton一样的处理。

快速生成免杀木马

WDF(2016服务器版本)

运行后会提示你复查,不用管,依旧可以上线。

快速生成免杀木马

火绒+金山

快速生成免杀木马

McAfee

快速生成免杀木马

单个免杀效果

部分杀软需要添加白程序的签名、版权信息等,如Norton、360、Symantec

APC-Injetc+Ntdll

bypass:金山(数字签名)、火绒、ESET、360全家桶(物理机)、WDF(PC)、McAfee、卡巴企业版(时间5s 抖动50 Sleep_mask)

nobypass:WDF(服务器无法上线)、Norton(静态)

CreateRemoteThread+Syscall+Ntdll Inject

bypass:McAfee、火绒、金山(数字签名)、ESET、360全家桶(物理机)、WDF(PC)、卡巴企业版(时间5s 抖动50 Sleep_mask)

nobypass:Norton(静态)、WDF(服务器无法上线)

CreateThread-Inject+IAT Hook Inject

bypass:McAfee、金山(数字签名)、火绒、ESET、卡巴企业版(时间5s 抖动50 Sleep_mask)、360全家桶(物理机)、Norton(加白程序资源)、WDF(PC)、WDF(Server)、Symantec(加白程序资源)

nobypass:

CreateThreatPoolWait+VEH Hook

bypass:McAfee、金山(数字签名)、火绒、ESET、卡巴企业版(时间5s 抖动50 Sleep_mask)、360全家桶(物理机)、Norton(加白程序资源)、WDF(PC)、WDF(服务器)

nobypass:

Fiber+VEH Hook Load

bypass:金山(数字签名)、火绒、ESET、360全家桶(物理机)、WDF(PC)、WDF(服务器提示复查(关云保护))、McAfee、Norton(加白程序资源)、卡巴企业版(时间5s 抖动50 Sleep_mask)

nobypass:

NtTestAlert+VEH Hook Load

bypass:金山(数字签名)、火绒、ESET、卡巴企业版(时间5s 抖动50 Sleep_mask)、360全家桶(物理机)、WDF(PC)、WDF(服务器提示)、McAfee、Norton(加白程序资源)

nobypass:

Syscall+IAT Hook Load

bypass:金山(数字签名)、火绒、ESET、卡巴企业版(时间5s 抖动50 Sleep_mask)、360全家桶(物理机)、Norton(加白程序资源)、WDF(PC)、WDF(服务器)、McAfee

nobypass:

Callback+IAT Hook Load plus(x86)

bypass:360全家桶(物理机)、WDF(PC)、ESET、金山(数字签名)、火绒、WDF(服务器提)、McAfee、卡巴企业版

nobypass:Norton(静态)

memoryMapInjection+Syscall+Ntdll

bypass:360全家桶(物理机)、WDF(PC)、ESET、金山(数字签名)、火绒、WDF(服务器)、McAfee、卡巴企业版(时间5s 抖动50 Sleep_mask)

nobypass:Norton(静态),WDF(服务器)

Function+VEH Hook Load

bypass:卡巴企业版、ESET、McAfee、金山(数字签名)、火绒、360全家桶(物理机)(数字签名+版权信息+清单+图标(可有可无))、WDF(PC)、ESET

nobypass:Norton(静态)

7

工具获取

https://github.com/wangfly-me/LoaderFly

文章来源:李白你好

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!

如侵权请私聊我们删文

END

原文始发于微信公众号(黑白之道):快速生成免杀木马

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月10日12:14:58
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   快速生成免杀木马https://cn-sec.com/archives/2644198.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息