字数 543,阅读大约需 3 分钟
今天我们将使用完全无法检测的cobaltstrike来pk各大杀毒软件,以测试完全去除特征后的免杀效果。
技术采用:
|
|
|
|
|
|
|
|
《红队加载器过主流杀软(混淆最终版)》 |
|
|
|
|
《完全无法检测的CobaltStrike》 |
|
对外提供的 完全无法检测的CobaltStrike 可以轻松绕过火绒,在该版本基础上,我进一步去除了yara特征以绕过卡巴斯基,截至目前,共收集涉及cobaltstrike检测规则文件58个。
存在特征和去除特征对比,payload_x64.bin经过处理后绕过所有yara规则。
PK双方:
杀毒软件:
测试程序:
exupdate.exe 0.65M
测试结果:
测试结果如下:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
其中nod32报ML/Augur特洛伊木马
江民杀毒报Trojan.PE.AI
但添加伪造的数字签名后绕过。
..Mangle_1.2_windows_amd64.exe -C C:UsersrapidDownloadsAutoruns.exe -I $randomFileName -O $randomFileName
推荐阅读
-
• 在杀毒软件上横着走 -
• 攻防的较量,杀毒软件的致命缺陷 -
• WPS最新0day漏洞?电脑被控仅仅是一个PDF(含视频) -
• 无法被拦截的PDF钓鱼 -
• 高级lnk快捷方式,常规杀毒软件无法拦截 -
• [bug修复]完全无法检测的CobaltStrike -
• 完全无法检测的CobaltStrike -
• 堆栈欺骗和内存扫描绕过 -
• 地狱之门进程注入官方免杀插件 -
• Beacon 命令和 OPSEC 操作绕过查杀
欢迎点赞分享并留言,同时欢迎关注视频号。
原文始发于微信公众号(白帽子安全笔记):cobaltstrike VS 12款杀毒软件
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论