免杀-Veil、shellter

Veil-evasion

  • 属于Veil-framework框架的一部分

  • 由Python语言编写

  • 用于自动生成免杀payload

    • 集成msf payload,支持自定义payload

    • 集成各种注入技术

    • 集成各种第三方工具

      • Hyperion、PEScrambler、BackDoor Factory
    • 集成各种开发打包运行环境

      • Python:pyinstaller py2exe
      • C#:mono for.NET
      • C:mingw32

操作

  • 按照指引使用payload生成一个exe,路径在/var/lib/veil/output/compiled/xxx.exe
  • 同时会生成一个msf配置文件在/var/lib/veil/output/handlers/xxx.rc
    • msfconsole -r xxx.rc或者在msf命令行手动敲里面的命令,侦听reverseShell的连接
  • 在把python打包成exe时,可以使用pwnstaller进行混淆

Veil-catapult

  • Payload的投递工具
    • 集成veil-evasion生成免杀payload或自定义payload
    • 使用Impacket上传二进制payload文件
    • 利用SMB

另一种免杀思路

  • 传统防病毒查杀原理
    • 查找文件特殊字符串,匹配查杀
  • 找到触发AV查杀的精确字符串,将其修改
    • 将执行程序分片成很多小段
    • 将包含MZ头的第一个片段与后续片段依次组合后交给AV查杀
    • 重复以上步骤,最终精确定位出
    • Evade、hexeditor

  1. 自己写
  2. 加密
  3. 不写文件
  4. 找到特征字符串

shellter

  • shellcode 注入工具,我们可以将shellcode注入到其它程序上,从而来躲避杀毒软件的查杀。
  • 只支持32位PE程序,使用正常的exe文件作为模板,将payload代码加入模板内
  • 参考:https://www.cnblogs.com/hkleak/p/12912706.html