“A9 Team 甲方攻防团队,成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域,持续分享安全运营和攻防的思考和实践。”
01
免杀技术是指攻击者使用各种手段,使其恶意软件能够绕过防病毒软件和入侵检测系统的检测。简单的来说,就是通过两个点进行对抗:流量对抗与行为对抗。但是每一类型的恶意软件所实施的反检测技术都是不一样的,下面将介绍几种常见的免杀方式。
·特征码免杀
免杀最基本思想就是破坏特征,这个特征可能是特征码,也可能是行为特征,只要破坏的病毒与木马所固有的特征,并保证其原本的功能没有改变,一次免杀就完成了。简单来讲特征码就是一种只在病毒或木马文件内才有的特征,它或是一段字符,或是在特定位置调用的一个函数。总之,如果某个文件具有这个特征码,那反病毒软件就会认为它是病毒。反过来,如果将这些特征码从病毒、木马的文件中抹去或破坏掉,那么反病毒软件就认为这是一个正常文件了。常见的特征码定位工具有CCL、VirTest等。
·加壳免杀
软件加壳为软件加密,对于现在的壳来说,根据作用与加壳后的不同效果,可以将其分为两类,一类是压缩壳,另一类是加密壳。但不管是压缩壳还是加密壳,它们的大致原理与执行流程都是一样的,应用程序加壳后就会变成PE文件里的一段数据,在执行加壳文件时会先执行壳,再由壳将已加密的程序解密并还原到内存中去。常用的分析工具有ollydbg、010Editor等。
·分离免杀
将 shellcode 和 shellcode loader 加载器分离
比如,一般杀软只会对 exe 文件进行查杀,但是我们将 shellcode 写入到图片中,那么杀软只会认为它是正常的图片,然后我们通过加载器将 shellcode 读取出来,加载进内存执行。
推荐一个学习免杀的页面,但是文章编写的比较早,但是内容很全面,工具也有在更新:
https://github.com/TideSec/BypassAntiVirus
常见的查杀方式主要有:
·静态查杀:对文件进行特征匹配的思路
·动态查杀:对其产生的行为进行检测
·云查杀:对文件内容及行为的检测
以shellcode免杀为例,杀软的基本查杀流程如下:
最近刷到了一个shellcode免杀处理平台,对cs、msf生成的文件进行处理。
工具路径如下:https://github.com/doki-byte/deal_shellcode
简单来说,持久化是指攻击者在成功入侵后,确保其恶意软件在系统重启或用户操作后仍能继续存在。常见的持久化方法包括:
·注册表修改
在 Windows 注册表中添加启动项,使恶意软件在系统启动时自动运行。
服务创建
创建新的系统服务,使恶意软件在后台运行。
计划任务
利用计划任务定期执行恶意代码。
免杀技术在行为对抗和流量对抗中扮演着重要角色。通过不断演化的技术手段,攻击者能够有效地绕过安全防护,保持对目标系统的控制。本文只是对免杀进行了初步的讲解,了解这些技术的运作方式,有助于安全专业人员更好地构建防御体系,提升网络安全防护能力。
原文始发于微信公众号(A9 Team):初探免杀与持久化
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论