声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!
本专题文章导航
1.远控免杀专题(1)-基础篇:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg
2.远控免杀专题(2)-msfvenom隐藏的参数:https://mp.weixin.qq.com/s/1r0iakLpnLrjCrOp2gT10w
3.远控免杀专题(3)-msf自带免杀(VT免杀率35/69):https://mp.weixin.qq.com/s/A0CZslLhCLOK_HgkHGcpEA
4.远控免杀专题(4)-Evasion模块(VT免杀率12/71):https://mp.weixin.qq.com/s/YnnCM7W20xScv52k_ubxYQ
5.远控免杀专题(5)-Veil免杀(VT免杀率23/71):https://mp.weixin.qq.com/s/-PHVIAQVyU8QIpHwcpN4yw
6.远控免杀专题(6)-Venom免杀(VT免杀率11/71):https://mp.weixin.qq.com/s/CbfxupSWEPB86tBZsmxNCQ
7.远控免杀专题(7)-Shellter免杀(VT免杀率7/69):https://mp.weixin.qq.com/s/ASnldn6nk68D4bwkfYm3Gg
8.远控免杀专题(8)-BackDoor-Factory免杀(VT免杀率13/71):https://mp.weixin.qq.com/s/A30JHhXhwe45xV7hv8jvVQ
9.远控免杀专题(9)-Avet免杀(VT免杀率14/71):https://mp.weixin.qq.com/s/EIfqAbMC8HoC6xcZP9SXpA
10.远控免杀专题(10)-TheFatRat免杀(VT免杀率22/70):https://mp.weixin.qq.com/s/zOvwfmEtbkpGWWBn642ICA
11.远控免杀专题(11)-Avoidz免杀(VT免杀率23/71):https://mp.weixin.qq.com/s/TnfTXihlyv696uCiv3aWfg
12.远控免杀专题(12)-Green-Hat-Suite免杀(VT免杀率23/70):https://mp.weixin.qq.com/s/MVJTXOIqjgL7iEHrnq6OJg
13.远控免杀专题(13)-zirikatu免杀(VT免杀率39/71):https://mp.weixin.qq.com/s/5xLuu5UfF4cQbCq_6JeqyA
14.远控免杀专题(14)-AVIator免杀(VT免杀率25/69):https://mp.weixin.qq.com/s/JYMq_qHvnslVlqijHNny8Q
15.远控免杀专题(15)-DKMC免杀(VT免杀率8/55):https://mp.weixin.qq.com/s/UZqOBQKEMcXtF5ZU7E55Fg
16.远控免杀专题(16)-Unicorn免杀(VT免杀率29/56):https://mp.weixin.qq.com/s/y7P6bvHRFes854EAHAPOzw
17.远控免杀专题(17)-Python-Rootkit免杀(VT免杀率7/69):https://mp.weixin.qq.com/s/OzO8hv0pTX54ex98k96tjQ
18.远控免杀专题(18)-ASWCrypter免杀(VT免杀率19/57):https://mp.weixin.qq.com/s/tT1i55swRWIYiEdxEWElSQ
19.远控免杀专题(19)-nps_payload免杀(VT免杀率3/57):https://mp.weixin.qq.com/s/XmSRgRUftMV3nmD1Gk0mvA
20.远控免杀专题(20)-GreatSCT免杀(VT免杀率14/56):https://mp.weixin.qq.com/s/s9DFRIgpvpE-_MneO0B_FQ
21.远控免杀专题(21)-HERCULES免杀(VT免杀率29/70):https://mp.weixin.qq.com/s/Rkr9lixzL4tiL89r10ndig
22.远控免杀专题(22)-SpookFlare免杀(VT免杀率16/67):
文章打包下载及相关软件下载:https://github.com/TideSec/BypassAntiVirus
免杀能力一览表
几点说明:
1、上表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass。
2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。
3、由于本机测试时只是安装了360全家桶和火绒,所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(2020.01.01),火绒版本5.0.34.16(2020.01.01),360安全卫士12.0.0.2002(2020.01.01)。
4、其他杀软的检测指标是在virustotal.com(简称VT)上在线查杀,所以可能只是代表了静态查杀能力,数据仅供参考,不足以作为免杀或杀软查杀能力的判断指标。
5、完全不必要苛求一种免杀技术能bypass所有杀软,这样的技术肯定是有的,只是没被公开,一旦公开第二天就能被杀了,其实我们只要能bypass目标主机上的杀软就足够了。
一、SpookFlare介绍
SpookFlare,2018年开源的工具,目前还在更新,使用了多种方式进行bypass。可直接生成基于Meterpreter、Empire、Koadic等平台的的shellcode,并对代码进行混淆、二次编码、随机填充字符串等,从而达到较好的免杀效果。
二、安装SpookFlare
安装相对比较简单
先从github上clone到本地
# git clone https://github.com/hlldz/SpookFlare.git进入SpookFlare目录,安装python依赖库
pip install -r requirements.txt执行python spookflare.py即可
三、SpookFlare使用说明
SpookFlare支持生成4类payload,分别是msf的exe程序(需要自己编译)、msf的ps1脚本(做了免杀混淆)、hta文件、office宏代码。
SpookFlare对每个payload都进行了代码混淆处理,基本都加入了随机代码来保证免杀效果能好一些。
感兴趣的可以查看SpookFlare/lib目录下的响应加密处理文件。
四、利用SpookFlare生成后门
还是以生成msf的payload为例进行测试
使用info命令,可查看配置参数,Required值为yes的说明需要配置
配置IP、端口、系统架构(x86或x64)、使用协议(仅支持http和https)
使用generate命令生成
生成的c#文件
需要使用csc.exe编译成exe,命令格式如下
C:WindowsMicrosoft.NETFrameworkv4.0.30319csc.exe /t:exe /out:test.exe test.cs
执行后可正常上线
打开杀软进行测试,360杀毒可查杀,火绒没有预警。
virustotal.com上查杀率为16/67,在exe里面能算一般以上了。
后来试了下SpookFlare生成的powershell和hta、vba脚本,免杀效果还挺不错的。
五、SpookFlare小结
SpookFlare使用了多种方式进行免杀,exe的免杀可能效果不算太出色,但是对powershell脚本和hta文件等的免杀做的还是不错的,基本静态查杀都能bypass。
SpookFlare目前是2.0版本,不知道什么原因没法直接生成exe文件了,在1.0版本里可以直接生成基于msf的exe文件。
在https://github.com/hlldz/SpookFlare/releases这里可以下载到1.0版本。
六、参考资料
官方github:https://github.com/hlldz/SpookFlare
HTA Loader for Koadic:https://youtu.be/6OyZuyIbRLU
E
N
D
guān
关
zhù
注
wǒ
我
men
们
Tide安全团队正式成立于2019年1月,是新潮信息旗下以互联网攻防技术研究为目标的安全团队,目前聚集了十多位专业的安全攻防技术研究人员,专注于网络攻防、Web安全、移动终端、安全开发、IoT/物联网/工控安全等方向。
想了解更多Tide安全团队,请关注团队官网: http://www.TideSec.com 或长按二维码关注公众号:
原文始发于微信公众号(白帽子):远控免杀专题(22)-SpookFlare免杀(VT免杀率16/67)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论