工具解析 | 杀毒引擎惨遭打脸,黑帽大会爆惊天免杀工具

今年的黑帽大会上,可谓是精彩不断。与往届大会对比看来,当属2017这届最有看头。各种推陈出新的技术暂且不论,光是爆出的新免杀工具AVET就足以惊艳全场。

该工具具有极强的病毒逃避功能,可以使原本弱小的病毒成为强力杀手,同时还可以使它们变为查杀工具的噩梦。

今天就来和大家一起分享下有关这款AVET免杀工具的测试情况。

首先,测试该工具前我们最好先部署一个基础的安全环境,以便应用于对它的测试,避免自己兴奋过头而中招,那样就很尴尬了。

安全环境设置好后,我们还需要确认机器中是否安装了Wine。

确认工作完毕后,我们开始下载测试所需的编译器TDM-GCC。

说起来tdm-gcc编辑器功能还是很强大的,既可以编译64位系统所需的binary,也可以支持编译32位系统的binary。当然如果你不喜欢它的风格,还可以考虑使用MinGW、MinGW-64这类编译器。

整个安装过程比较简单,一路默认下一步即可完成。

既然编译器已经安装完毕了,接下来我们就要进入正题了,下载AVET免杀工具。

下载后大家可以通过Build来查看其中可被自己所利用的脚本文件。

从图中我们可以发现绿色字体显示的内容为我们目前可使用的文件,且支持系统位数也标记的十分清晰。

既然了解了它里面可供选择的文件内容,我们也不要再耽误时间了,继续向下进发。

很快,我们看到了可以对攻击机IP地址进行配置及生成免杀文件的信息。

由于我测试时使用的是64位系统脚本,为了能够使后门反弹回攻击机的信息准确到位,便对LHOST和LPORT参数进行调整并设置接收时使用的IP地址(图中红框标记处),具体命令命令如下:

在此补充说明,无论是64位还是32位系统脚本,攻击端的LHOST和LPORT都需要重新调整配置,从而确保你接收信息时不会出现意外情况。

成功修改后,大家还会碰到一个比较尴尬的问题,这就是编译环境会出现异常。

可能这个编译环境出现异常的问题算是一个坑吧,如果大家也碰到同类情况,只需要重新对内容进行编辑即可。PS:此前在关注此类内容时,经常发现被删减的环节,致使有兴趣的朋友在测试时碰到各种无奈。

既然编译的异常被我们解决掉了,那么就开工干活,创建Windows X64系统下可执行的文件。

很快pwn.exe文件被成功创建生成,为我们节省了不少操作时间。

拿到生成好的pwn.exe文件不用犹豫,直接上传到远程被攻击的目标客户端主机中并开始运行。

这时我们之前已创建好的监听端会成功接收到被攻击目标客户端所反馈的信息,并轻松获取系统的shell。

既然目标客户端已经被我们使用的AVET生成文件所感染,就赶快验证下它的免杀效果吧。谁知,扫描的结果让我感到有些意外,因为测试时所使用的各种杀毒引擎居然无法查出它,扫描结果显示竟然是0%。由此可以证明AVET真的实现了完美的免杀结果。

最后,在这举国欢庆的特殊节日里,庆祝祖国建军90周年活动成功,并预祝祖国繁荣昌盛、国强民富。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-08-04

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

看看印尼黑客如何利用电影大片进行网络攻击

网络犯罪分子每天都在想尽各种办法来进行攻击,这对于信息安全从业者来说再正常不过了,而这一次印尼网络犯罪组织开始利用电影大片来欺骗目标用户访问已受感染的网站。

1110
来自专栏北京马哥教育

记一次Linux服务器被入侵后的检测过程

? 作者 | 哈兹本德 来源 | FreeBuf ? 豌豆贴心提醒,本文阅读时间5分钟,文末有秘密! 0×00 前言 故事是这样的,大年初一,客户反应...

3755
来自专栏程序员阿凯

GitHub 可以被收购,Git 命令你不能不会

1494
来自专栏FreeBuf

如何通过WIFI渗透企业内网?

介绍 黑盒渗透测试意味着白帽子对目标网络一无所知。模拟黑客攻击网络,并获取敏感信息。进一步,探索内网,识别内网中的漏洞,通过漏洞访问网络里的重要资源。 目的 在...

2758
来自专栏FreeBuf

漏洞预警:“毒液(VENOM)”漏洞影响全球数百万虚拟机安全(附POC)

CrowdStrike公司安全研究员称,一个名为“毒液(VENOM)”的QEMU漏洞使数以百万计的虚拟机处于网络攻击风险之中,该漏洞可以造成虚机逃逸,威胁到全球...

1988
来自专栏PHP在线

PHP7的优缺点及从当前版本升级到PHP7都遇见了哪些坑

优点就是快,相比5.6有一倍的提升,也有很多方便的新特性,缺点是目前相关的扩展支持还不完善,很多扩展(非官方)坑不少,万一踩到由于内核变化,很多人调试起来可能不...

4756
来自专栏安恒信息

新型Web劫持技术现身,专攻搜索引擎

近期,安全机构截获了一例利用script脚本进行Web劫持的攻击案例,在该案例中,黑客利用一批新闻页面重置了搜索引擎页面,并将搜索结果替换为自己制作的...

3705
来自专栏菩提树下的杨过

选择一款适合自己的ruby on rails IDE开发工具

用ROR框架做开发,基本上只要SciTE+资源管理器+命令行 就可以了,但如果您确实一时很难忘记IDE环境,而且机器配置又不咋地,建议您重返三剑客时代,找找当年...

2538
来自专栏全华班

分享一套OA协同办公系统

OA协同办公系统是高效工作流平台基础上,开发带有控制功能的OA办公系统、标准版功能模块:1、个人事务;2、工作流;3、行政;4、信息管理;5、人力资源;6、公文...

1.5K1
来自专栏hadoop学习笔记

hadoop基础学习教程实操篇汇总

关于hadoop的分享此前一直都是零零散散的想到什么就写什么,整体写的比较乱吧。最近可能还算好的吧,毕竟花了两周的时间详细的写完的了hadoop从规划到环境安装...

921

扫码关注云+社区