初探免杀与持久化

admin 2024年12月30日12:29:16评论28 views字数 1500阅读5分0秒阅读模式

“A9 Team 甲方攻防团队,成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域,持续分享安全运营和攻防的思考和实践。”

01

前言
在网络安全领域,攻击者不断演化其技术和策略,以绕过防御机制并维持对目标系统的控制。简单来说,免杀就像是让恶意软件变得“隐形”,而持久化则是确保其一旦进入系统,攻击者可以随时重新“现身”。这两项技术常常结合使用,形成了完整的攻击链,使得攻击者不仅能够入侵目标系统,还能长期、稳定地控制它。本文是笔者学习免杀的一些笔记,初步讲讲免杀与持久化。
02
什么是免杀?

免杀技术是指攻击者使用各种手段,使其恶意软件能够绕过防病毒软件和入侵检测系统的检测。简单的来说,就是通过两个点进行对抗:流量对抗与行为对抗。但是每一类型的恶意软件所实施的反检测技术都是不一样的,下面将介绍几种常见的免杀方式。

·特征码免杀

免杀最基本思想就是破坏特征,这个特征可能是特征码,也可能是行为特征,只要破坏的病毒与木马所固有的特征,并保证其原本的功能没有改变,一次免杀就完成了。简单来讲特征码就是一种只在病毒或木马文件内才有的特征,它或是一段字符,或是在特定位置调用的一个函数。总之,如果某个文件具有这个特征码,那反病毒软件就会认为它是病毒。反过来,如果将这些特征码从病毒、木马的文件中抹去或破坏掉,那么反病毒软件就认为这是一个正常文件了。常见的特征码定位工具有CCL、VirTest等。

·加壳免杀

软件加壳为软件加密,对于现在的壳来说,根据作用与加壳后的不同效果,可以将其分为两类,一类是压缩壳,另一类是加密壳。但不管是压缩壳还是加密壳,它们的大致原理与执行流程都是一样的,应用程序加壳后就会变成PE文件里的一段数据,在执行加壳文件时会先执行壳,再由壳将已加密的程序解密并还原到内存中去。常用的分析工具有ollydbg、010Editor等。

·分离免杀

将 shellcode 和 shellcode loader 加载器分离

比如,一般杀软只会对 exe 文件进行查杀,但是我们将 shellcode 写入到图片中,那么杀软只会认为它是正常的图片,然后我们通过加载器将 shellcode 读取出来,加载进内存执行。

推荐一个学习免杀的页面,但是文章编写的比较早,但是内容很全面,工具也有在更新:

https://github.com/TideSec/BypassAntiVirus

03
如何进行查杀?

常见的查杀方式主要有:

·静态查杀:对文件进行特征匹配的思路

·动态查杀:对其产生的行为进行检测

·云查杀:对文件内容及行为的检测

以shellcode免杀为例,杀软的基本查杀流程如下:

初探免杀与持久化

最近刷到了一个shellcode免杀处理平台,对cs、msf生成的文件进行处理。

工具路径如下:https://github.com/doki-byte/deal_shellcode

04
什么是持久化?

简单来说,持久化是指攻击者在成功入侵后,确保其恶意软件在系统重启或用户操作后仍能继续存在。常见的持久化方法包括:

·注册表修改

在 Windows 注册表中添加启动项,使恶意软件在系统启动时自动运行。

初探免杀与持久化

服务创建

创建新的系统服务,使恶意软件在后台运行。

初探免杀与持久化

计划任务

利用计划任务定期执行恶意代码。

初探免杀与持久化
05
总结

免杀技术在行为对抗和流量对抗中扮演着重要角色。通过不断演化的技术手段,攻击者能够有效地绕过安全防护,保持对目标系统的控制。本文只是对免杀进行了初步的讲解,了解这些技术的运作方式,有助于安全专业人员更好地构建防御体系,提升网络安全防护能力。

原文始发于微信公众号(A9 Team):初探免杀与持久化

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月30日12:29:16
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   初探免杀与持久化https://cn-sec.com/archives/3570530.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息