远控免杀专题6---Venom免杀
0x01 免殺能力一覽表
幾點(diǎn)說明:
1、上表中標(biāo)識(shí) √ 說明相應(yīng)殺毒軟件未檢測(cè)出病毒,也就是代表了Bypass。
2、為了更好的對(duì)比效果,大部分測(cè)試payload均使用msf的windows/meterperter/reverse_tcp模塊生成。
3、由于本機(jī)測(cè)試時(shí)只是安裝了360全家桶和火絨,所以默認(rèn)情況下360和火絨殺毒情況指的是靜態(tài)+動(dòng)態(tài)查殺。360殺毒版本5.0.0.8160(2019.12.12),火絨版本5.0.33.13(2019.12.12),360安全衛(wèi)士12.0.0.2001(2019.12.17)。
4、其他殺軟的檢測(cè)指標(biāo)是在virustotal.com(簡(jiǎn)稱VT)上在線查殺,所以可能只是代表了靜態(tài)查殺能力,數(shù)據(jù)僅供參考,不足以作為免殺的精確判斷指標(biāo)。
0x02 前言
Venom和Veil、Shellter是三大老牌免殺工具,免殺主要依靠分離執(zhí)行和加密混淆等技術(shù),可以和msf無縫對(duì)接。
Venom利用msfvenom(metasploit)生成不同的格式的shellcode,如(c | python | ruby | dll | msi | hta-psh)等,然后將生成的shellcode注入一個(gè)模板(例如:python),并使用類似gcc、mingw32或pyinstaller之類的編譯器生成可執(zhí)行文件。
Venom的一些功能還會(huì)直接調(diào)用Veil-Evasion.py,unicorn.py,powersploit.py等來直接創(chuàng)建免殺程序,避免重復(fù)造輪子。
0x03 安裝venom
venom依賴的軟件比較多,所以安裝出現(xiàn)問題是很正常的。。請(qǐng)做好心里準(zhǔn)備~
Zenity | Metasploit | GCC (compiler) | Pyinstaller (compiler) mingw32 (compiler) | pyherion.py (crypter) | wine (emulator) PEScrambler.exe (PE obfuscator) | apache2 (webserver)| winrar (wine) vbs-obfuscator (obfuscator) | avet (Daniel Sauder) | shellter (KyRecon) ettercap (MitM + DNS_Spoofing) | encrypt_PolarSSL (AES crypter)1、從github上拖到本地
git clone https://github.com/r00t-3xp10it/venom.git
2、修改文件執(zhí)行權(quán)限
3、安裝依賴庫和軟件
cd aux sudo ./setup.sh
我在執(zhí)行安裝中,遇到了幾個(gè)坑,其中遇到zenity報(bào)錯(cuò)信息,翻遍了官方Github也沒找到解決辦法,報(bào)錯(cuò)信息如下:
將系統(tǒng)中/usr/local/lib/目錄下的libxml2.so.2從libxml2.so.2.7.8更換為libxml2.so.2.9.4
mv /usr/local/lib/libxml2.so.2.7.8 /usr/local/lib/libxml2.so.2.7.8_bak mv /usr/local/lib/libxml2.so.2 /usr/local/lib/libxml2.so.2_bak ln -s /usr/lib/x86_64-linux-gnu/libxml2.so.2.9.4 /usr/local/lib/libxml2.so.2之后可正常安裝。
運(yùn)行venom
venom.sh文件在venom文件夾下
另外注意,在parrot系統(tǒng)中,root用戶無法直接使用systemctl start apache2.service開啟apache等服務(wù),必須普通用戶才行。否則會(huì)提示
0x04 生成載荷
1、venom生成exe
到venom文件夾下,啟動(dòng)venom:sudo ./venom.sh
然后選擇windows,也就是2
然后會(huì)列出所有windows可用的20個(gè)agent
支持的種類還是比較全面的,shellter、avet等免殺工具都內(nèi)置在里面了,而且支持很多種類似的payload格式
我們先生成一個(gè)最簡(jiǎn)單直接的,第4個(gè)模塊,通過C編譯EXE程序
在輸入4之后,會(huì)彈出一個(gè)框讓你輸入ip地址,這個(gè)就是你msf監(jiān)聽主機(jī)的地址,我的就是10.211.55.2了,不要看著上面那個(gè)example還有子網(wǎng)掩碼什么的就照著輸。接著輸入監(jiān)聽端口,我輸入的是5555
然后輸入端口號(hào)之后,選擇payload,我還是選擇最常規(guī)的windows/meterperter/reverse_tcp
再輸入一個(gè)文件名:
然后在編譯和生成exe的過程中,會(huì)彈出來兩個(gè)選項(xiàng)框,一般默認(rèn)就行
如果沒有成功生成exe文件,看下提示,是不是沒有成功安裝mingw32,如果沒有裝,就安裝,安裝步驟:
成功安裝顯示如下:
在換成原來的源:
按照原來生成exe的步驟再來一遍:
成功生成,文件在/home/venom/output文件夾下,也可以用find命令查
在測(cè)試機(jī)執(zhí)行后,發(fā)現(xiàn)360安全衛(wèi)士和360殺毒靜態(tài)檢測(cè)沒問題,但行為檢測(cè)都能查殺出為病毒
火絨則靜態(tài)+動(dòng)態(tài)都沒有檢測(cè)到
2、venom生成dll
我們?cè)僭囈幌缕渌K的免殺效果,選擇windows之后,在agent中選擇第1個(gè),生成dll。
面的操作和上面那個(gè)差不多,然后就能看到生成了dll_msf.dll文件,文件在/home/venom/output文件夾里,也可用find查
將文件拷貝到測(cè)試機(jī)上,命令行中執(zhí)行rundll32.exe c_msf.dll,main,可動(dòng)靜態(tài)免殺過360和火絨
msf正常上線
0x05 小結(jié)
venom是一個(gè)綜合性非常強(qiáng)大的工具,而且支持生成多平臺(tái)payload,比如android、ios、linux/unix、office等等,我這里也只是簡(jiǎn)單演示了windows下的兩個(gè)agent,其他還有很多agent模塊免殺能力很強(qiáng),比如18 shellter模塊等等。
在venom生成編譯的過程中可以看到他生成的shellcode其實(shí)是直接調(diào)用的msfvenom,而且在最后也可以和msf聯(lián)動(dòng)進(jìn)行監(jiān)聽,還支持apache的web分發(fā),很多模塊都能和msf無縫對(duì)接,雖然被殺軟盯的緊但免殺體驗(yàn)還是不錯(cuò)的。
0x06 參考資料
利用meterpreter下的Venom免殺后門:https://www.cnblogs.com/wh4am1/p/7469625.html
免殺后門venom :https://www.ggsec.cn/venom.html
總結(jié)
以上是生活随笔為你收集整理的远控免杀专题6---Venom免杀的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 苹果数据线多少钱一根啊?
- 下一篇: 远控免杀专题7 ---shellter免