工具解析 | 杀毒引擎惨遭打脸,黑帽大会爆惊天免杀工具

今年的黑帽大会上,可谓是精彩不断。与往届大会对比看来,当属2017这届最有看头。各种推陈出新的技术暂且不论,光是爆出的新免杀工具AVET就足以惊艳全场。

该工具具有极强的病毒逃避功能,可以使原本弱小的病毒成为强力杀手,同时还可以使它们变为查杀工具的噩梦。

今天就来和大家一起分享下有关这款AVET免杀工具的测试情况。

首先,测试该工具前我们最好先部署一个基础的安全环境,以便应用于对它的测试,避免自己兴奋过头而中招,那样就很尴尬了。

安全环境设置好后,我们还需要确认机器中是否安装了Wine。

确认工作完毕后,我们开始下载测试所需的编译器TDM-GCC。

说起来tdm-gcc编辑器功能还是很强大的,既可以编译64位系统所需的binary,也可以支持编译32位系统的binary。当然如果你不喜欢它的风格,还可以考虑使用MinGW、MinGW-64这类编译器。

整个安装过程比较简单,一路默认下一步即可完成。

既然编译器已经安装完毕了,接下来我们就要进入正题了,下载AVET免杀工具。

下载后大家可以通过Build来查看其中可被自己所利用的脚本文件。

从图中我们可以发现绿色字体显示的内容为我们目前可使用的文件,且支持系统位数也标记的十分清晰。

既然了解了它里面可供选择的文件内容,我们也不要再耽误时间了,继续向下进发。

很快,我们看到了可以对攻击机IP地址进行配置及生成免杀文件的信息。

由于我测试时使用的是64位系统脚本,为了能够使后门反弹回攻击机的信息准确到位,便对LHOST和LPORT参数进行调整并设置接收时使用的IP地址(图中红框标记处),具体命令命令如下:

在此补充说明,无论是64位还是32位系统脚本,攻击端的LHOST和LPORT都需要重新调整配置,从而确保你接收信息时不会出现意外情况。

成功修改后,大家还会碰到一个比较尴尬的问题,这就是编译环境会出现异常。

可能这个编译环境出现异常的问题算是一个坑吧,如果大家也碰到同类情况,只需要重新对内容进行编辑即可。PS:此前在关注此类内容时,经常发现被删减的环节,致使有兴趣的朋友在测试时碰到各种无奈。

既然编译的异常被我们解决掉了,那么就开工干活,创建Windows X64系统下可执行的文件。

很快pwn.exe文件被成功创建生成,为我们节省了不少操作时间。

拿到生成好的pwn.exe文件不用犹豫,直接上传到远程被攻击的目标客户端主机中并开始运行。

这时我们之前已创建好的监听端会成功接收到被攻击目标客户端所反馈的信息,并轻松获取系统的shell。

既然目标客户端已经被我们使用的AVET生成文件所感染,就赶快验证下它的免杀效果吧。谁知,扫描的结果让我感到有些意外,因为测试时所使用的各种杀毒引擎居然无法查出它,扫描结果显示竟然是0%。由此可以证明AVET真的实现了完美的免杀结果。

最后,在这举国欢庆的特殊节日里,庆祝祖国建军90周年活动成功,并预祝祖国繁荣昌盛、国强民富。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-08-04

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏北京马哥教育

记一次Linux服务器被入侵后的检测过程

? 作者 | 哈兹本德 来源 | FreeBuf ? 豌豆贴心提醒,本文阅读时间5分钟,文末有秘密! 0×00 前言 故事是这样的,大年初一,客户反应...

4215
来自专栏黑白安全

metasploit渗透终极防御终极方法总结

睡不着就无聊玩玩metasploit攻击,哎让我大失所所望.整来整去是一个垃圾东东.可能对win还用点没有那么多安全防御手段.可是对于linux.bsd简直就是...

1273
来自专栏FreeBuf

如何使用Airgeddon搭建基于软件的WIFI干扰器

Airgeddon是一款能够进行Wi-Fi干扰的多Bash网络审计工具,它可以允许你在未加入目标网络的情况下设置目标,并且断开目标网络中的所有设备。Airged...

35010
来自专栏全华班

分享一套OA协同办公系统

OA协同办公系统是高效工作流平台基础上,开发带有控制功能的OA办公系统、标准版功能模块:1、个人事务;2、工作流;3、行政;4、信息管理;5、人力资源;6、公文...

1.9K1
来自专栏hadoop学习笔记

hadoop基础学习教程实操篇汇总

关于hadoop的分享此前一直都是零零散散的想到什么就写什么,整体写的比较乱吧。最近可能还算好的吧,毕竟花了两周的时间详细的写完的了hadoop从规划到环境安装...

1011
来自专栏施炯的IoT开发专栏

Application Architecture Guide 2.0 - CH 19 - Mobile Applications(4)

本文翻译"Porting"、"Power"、"Synchronization"、"User Interface"和"Performance Considerat...

1975
来自专栏数据和云

五重备份无一有效,还有哪些 rm -rf 和GitLab类似的忧伤?

DBA的悲伤,不是没有做备份,就是没有做有效的备份。日光之下,并无鲜事。 都说一个没有删过数据库的DBA,职业生涯是不完整的,不过当你删过之后,你的DBA生涯可...

4205
来自专栏FreeBuf

来自后方世界的隐匿威胁:后门与持久代理(一)

干了十几年安全工作,发现一些同行只是把简单的工具扫描和渗透测试当成了全部工作,拿到需要的数据及测试结果既为完成工作。可各位兄弟,咱扪心自问,这样的安全测试能叫真...

2675
来自专栏葡萄城控件技术团队

月下载量千万的 npm 包被黑客篡改,Vue 开发者可能正在遭受攻击

早起看手机,结果发现我的微信群炸了,未读消息 999+,大家都在讨论 event-stream 事件。打开 twitter 也是被这个刷屏了。

1222
来自专栏逍遥剑客的游戏开发

UE4中集成Wiimote

28911

扫码关注云+社区

领取腾讯云代金券