远控免杀专题(13)-zirikatu免杀(VT免杀率39/71)

2020-07-16 5,105

声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!

本专题文章导航

1、远控免杀专题文章(1)-基础篇:https://www.secpulse.com/archives/123295.html

2、远控免杀专题文章(2)-msfvenom隐藏的参数:https://www.secpulse.com/archives/123300.html

3、远控免杀专题文章(3)-msf自带免杀(VT免杀率35/69):https://www.secpulse.com/archives/123315.html

4、远控免杀专题文章(4)-Evasion模块(VT免杀率12/71):https://www.secpulse.com/archives/123339.html

5、远控免杀专题(5)-Veil免杀(VT免杀率23/71):https://www.secpulse.com/archives/127186.html

6、远控免杀专题(6)-Venom免杀(VT免杀率11/71):https://www.secpulse.com/archives/127297.html

7、远控免杀专题(7)-Shellter免杀(VT免杀率7/69):https://www.secpulse.com/archives/127713.html

8、远控免杀专题(8)-Shellter免杀(VT免杀率7/69):https://www.secpulse.com/archives/128628.html

9、远控免杀专题(9)-Avet免杀(VT免杀率14/71):https://www.secpulse.com/archives/130734.html

10、远控免杀专题(10)-TheFatRat免杀(VT免杀率22/70):https://www.secpulse.com/archives/130782.html

11、远控免杀专题(11)-Avoidz免杀(VT免杀率23/71):https://www.secpulse.com/archives/133392.html

12、远控免杀专题(12)-Green-Hat-Suite免杀(VT免杀率23/70):https://www.secpulse.com/archives/135383.html

13、远控免杀专题(13)-zirikatu免杀(VT免杀率39/71):本文

文章打包下载及相关软件下载:https://github.com/TideSec/BypassAntiVirus


免杀能力一览表

几点说明:

1、上表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass。

2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。

3、由于本机测试时只是安装了360全家桶和火绒,所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(2020.01.01),火绒版本5.0.34.16(2020.01.01),360安全卫士12.0.0.2002(2020.01.01)。

4、其他杀软的检测指标是在virustotal.com(简称VT)上在线查杀,所以可能只是代表了静态查杀能力,数据仅供参考,不足以作为免杀的精确判断指标。

5、完全不必要苛求一种免杀技术能bypass所有杀软,这样的技术肯定是有的,只是没被公开,一旦公开第二天就能被杀了,其实我们只要能bypass目标主机上的杀软就足够了。


一、zirikatu介绍

zirikatu是一个用bash编写的小脚本,依赖于msf、mono、mcs等软件,也是调用msfvenom生成shellcode,然后将shellcode嵌入C#代码,试用Mcs编译生成exe后门。

Mono可以让.NET程序跨平台运行在Linux,BSD,Windows,MacOS,Sun Solaris,Wii,索尼PlayStation,苹果iPhone等几乎所有常见的操作系统之上。从Mono2.11版本开始,采用的编译器叫mcs,它的作用是将C#编译为CIL(Common Language Infrastructure,通用中间语言,也叫MSIL微软中间语言,这个语言能运行在所有支持CIL的环境中)

二、安装zirikatu

下载到本地

git clone https://github.com/pasahitz/zirikatu.git

三、zirikatu使用说明

执行命令

chmod +x zirikatu.sh
./zirikatu.sh

四、生成后门

还是使用最常规的reverse_tcp进行测试,选项都比较简单,默认填写就可以

测试机执行,360和火绒静态检测和动态检测都可以bypass

那个弹窗是我故意加的,生成payload的时候不加就可以

msf可正常上线

virustotal.com中39/71个报毒,以为能过360和火绒,免杀应该不错的...

五、小结

zirikatu利用msfvenom生成shellcode,之后再进行一定处理,编译生成exe。原理比较简单,操作比较方便,免杀效果相比专题12里的Green-Hat-Suite来说虽然一般,但能过360、火绒和瑞星的确有点出人意料。

参考

Msf&zirikatu免杀结合利用:http://www.secist.com/archives/3113.html



E




N




D





本文作者:TideSec

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/135406.html

Tags:
评论  (0)
快来写下你的想法吧!

TideSec

文章数:34 积分: 125

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号