免杀数字的你见过很多,可免杀数字一周的,你见过吗?只用了三步,就将卡巴斯基斩于马下,这是如何做到的?咱们进屋看看就知道了。
由于工具,文档等信息常维护,付费的朋友请回复"更新"找我拿最新版本。
技术讲解
环境
| 目标环境 | 红方环境 |
| win10 360安全卫士 | 免杀项目 |
| win10 卡巴斯基 | cobaltstrike高级匿名技术 |
| sleepmask kit |
项目部分
要免杀QVM,我已经说了很多次了,重点在编译上,而不是在代码上。要从hello world开始,这里我们采用先前的编译方法,我在10月8日编译了一次,目前已过去一周,期间经过了多次右键查杀,目前免杀。我们可以看到,文件落地后自动上报至云,判定为“暂未发现风险”,过后显示“未发现风险”。
采用分离的技术,远程获取shellcode,文件只需一次编译,后面我们只需调整shellcode即可。
注意:编译参考之前的付费内容,整体配置不需要动,但在10月份,C/C++中
优化选项需修改为/OX,启用内部函数否。
cobalt strike高级匿名技术
有人说,需要对cobaltstrike二开去特征,我说不需要。有人说,需要加入各种反沙箱代码,我说不需要。
这里我们采用了适用于4.9.1的高级profile文件,配合下方的sleepmask kit完成对内存的加密,并部署于生产环境中。目前我已将先前的《cobatstrike高级匿名技术》文档更新至最新,之前购买过的回复更新找我拿更新版本。
sleepmask kit
那么问题来了,我们的cobaltstrike特征是如何被检测到的?
我们可以看一个奇安信的沙箱分析报告(在下方),在内存转储部分,有2类规则,一类是TianQiong,另一类是Elastic Security。不难推断各大EDR和沙箱都采用Elastic Security的Yara恶意软件防护规则来检测。另外加上各种Hunt beacon的工具,例如知名项目Hunt -Sleeping-Beacons、BeaconHunter、BeaconEye、Patriot等等,但这些工具并没有集成到EDR或者杀软中。
天穹动态分析沙箱报告: https://sandbox.qianxin.com/tq/report/toViewReport.do?rid=f9c97e98ce534250dc153c7d06d500d9&index=3&sk=88361585&devsk=889142dd3b9396fc4222174c5fb77943x&debug=false
-
• 为了实现对内存的加密,我们有多种办法,一种是睡眠加密写进代码中,但那样很蠢不够灵活。
-
• 我们直接使用官方提供的arsenal-kit,目前该套件已更新至9月,但未泄露,我们依然可以用之前泄露的1月的版本。但它必须配合4.9版本以上的profile来同时发挥作用。
-
• 再就是使用UDRL技术逃避内存扫描,这个目前有很一些开源项目,比如AceLdr,经过实际测试发现效果并没有达到预期。
-
• 再就是使用最新先进的Cobalt Strike 4.10版本,其中BeaconGate专门设计为解决内存扫描。但该版本截至目前并未泄露公开。
我们下载Windows_Trojan_CobaltStrike.yar规则来尝试检测下:
未使用sleepmask时,发现beacon被其中2个规则检测到。
一旦我们使用sleepmask插件,这时候你会发现检测不到了。
但这里需要注意:在beacon正常稳定通信有极低概率会被检测到。网络条件不佳时有概率会检测到Windows_Trojan_CobaltStrike_663fc95d(在Beacon的.text部分发现了一个 "未识别 "的代码片段)
既然如此,yara规则通过了,我们可以大胆想象,卡巴斯基内存扫描是不是也是基于yara规则?事实证明的确如此。
以上所有内容,将按条件获取。
所有付费过【Cobaltstrike4.9.1平台高级匿名技术】或【免杀HelloWorld,0/71通过所有杀软】的朋友可回复更新找我领取。
获取文件如下:
-
• Cobaltstrike4.9.1平台高级匿名技术(部署手册+profile文件)
-
• sleepmask kit(编译前后):
![三步免杀卡巴斯基,免杀数字时长达一周以上]( "三步免杀卡巴斯基,免杀数字时长达一周以上")
-
• 高级免杀加载器+编译配置
推荐阅读
欢迎点赞分享并留言,同时欢迎关注视频号。
原文始发于微信公众号(白帽子安全笔记):三步免杀卡巴斯基,免杀数字时长达一周以上
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论