前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >远控免杀专题(5)-Veil免杀(VT免杀率23/71)

远控免杀专题(5)-Veil免杀(VT免杀率23/71)

作者头像
Ms08067安全实验室
发布2020-03-04 11:48:14
2K0
发布2020-03-04 11:48:14
举报
文章被收录于专栏:Ms08067安全实验室

本专题文章导航

1、远控免杀专题(1)-基础篇:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg

2、远控免杀专题(2)-msfvenom隐藏的参数:https://mp.weixin.qq.com/s/1r0iakLpnLrjCrOp2gT10w

3、远控免杀专题(3)-msf自带免杀(VT免杀率35/69):https://mp.weixin.qq.com/s/A0CZslLhCLOK_HgkHGcpEA

4、远控免杀专题(4)-Evasion模块(VT免杀率12/71):https://mp.weixin.qq.com/s/YnnCM7W20xScv52k_ubxYQ

5、远控免杀专题(5)-Veil免杀(VT免杀率23/71):本文

文章打包下载及相关软件下载:https://github.com/TideSec/BypassAntiVirus


免杀能力一览表

几点说明:

1、下表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass。

2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。

3、由于本机测试时只是安装了360全家桶和火绒,所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(2019.12.12),火绒版本5.0.33.13(2019.12.12),360安全卫士12.0.0.2001(2019.12.17)。

4、其他杀软的检测指标是在virustotal.com(简称VT)上在线查杀,所以可能只是代表了静态查杀能力,数据仅供参考,不足以作为免杀的精确判断指标。


前言

Veil、Venom和Shellter是三大老牌免杀工具,虽然说人怕出名猪怕壮,但目前这几款免杀工具在扩展性和免杀能力方面依然有着不错的表现。

Veil-Evasion是一个用python写的免杀框架,可以将任意脚本或一段shellcode转换成Windows可执行文件,还能利用Metasploit框架生成相兼容的Payload工具,从而逃避了常见防病毒产品的检测。

安装veil

常规安装失败

veil地址:https://github.com/Veil-Framework/Veil

安装参考https://www.freebuf.com/sectool/89024.html

kali快速安装

代码语言:javascript
复制

安装信息如下

看起来没什么问题,但后来在执行的时候各种出错,依赖包各种出问题,无论是快速安装还是常规手工安装都没能解决。网上也有很多人吐槽安装比较繁杂,出现各种状况,但也有的系统安全比较顺利。

后来,发现有人做好了veil的docker镜像,简单便捷,一键运行。

Docker安装

镜像地址:

代码语言:javascript
复制

在kali里安装docker后,添加docker加速镜像地址vi /etc/docker/daemon.json

代码语言:javascript
复制

然后重启docker服务

代码语言:javascript
复制

拉取veil镜像

代码语言:javascript
复制

拉取成功后,执行

代码语言:javascript
复制

-v /tmp/veil-output:/var/lib/veil/output:Z是将宿主机的/tmp/veil-output目录映射到docker里面,这样veil生成的payload可以直接在宿主机里使用。

之后再进入镜像可以在启动镜像后使用下面命令

代码语言:javascript
复制

执行veil命令可启动,版本为3.1.1。

veil使用

veil有两个免杀的工具,Evasion和Ordnance。

Ordnance可生成在Veil-Evasion中使用的shellcode,Evasion是用做文件免杀。

我们一般选择Evasion

代码语言:javascript
复制

使用list可以看到到41种stager

推荐使用以go和ruby语言encode的编码方式。像python这类的与用户有较高的交互就容易被查杀。

veil原理可以参考这篇文章:https://xz.aliyun.com/t/4191

使用veil直接生成exe(VT查杀率44/70)

veil可以直接生成支持msf的payload,我们先试一下看看效果。

我们使用go语言生成msf的payload

代码语言:javascript
复制

设置好msf的监听主机和端口就可以,下图所示

然后再设定好生成的payload的名称,我这里就用go_msf了

然后一堆编码编译之后,就生成payload了

因为之前已经做过映射,所以在宿主机的/tmp/veil-output/compiled/目录可直接看到生成的exe文件。

在msf中监听

代码语言:javascript
复制

在测试主机执行go_msf.exe,发现msf中可上线

而此时是正常打开360和火绒的

virustotal.com中44/71个报毒

虽然查杀率还比较高,不过火绒和360都能静态+动态免杀。比较遗憾的是生成的exe文件比较大,go语言生成的exe大约2M,python生成的exe大约4M,ruby生成的exe大约700K,相比msf原生态的exe大打多了。

使用veil+mingw-w64(VT查杀率23/71)

先用veil生成shellcode

代码语言:javascript
复制

输入生成文件名为c_msf

先生成一个可以被 msf 利用的 c_msf.c 然后用mingw-w64 来编译

mingw-w64的安装可参考https://zhuanlan.zhihu.com/p/76613134

全程开启360卫士和杀毒以及火绒,编译、运行、上线都没有问题。

virustotal.com中23/71个报毒

小结

veil功能还是很强大的,生成的shellcode自身免杀能力就不错,而且支持多种语言的shellcode编译打包,和msf及cs可以无缝对接,值得人好好研究一下。三大老牌免杀工具不是浪得虚名的~~

参考整理

使用veil绕过杀软:https://blog.csdn.net/wyf12138/article/details/79825833

免杀后门之MSF&Veil-Evasion的完美结合http://www.secist.com/archives/1107.html

APT级的全面免杀:https://xz.aliyun.com/t/4191

专注于普及网络安全知识。团队已出版《Web安全攻防:渗透测试实战指南》,《内网安全攻防:渗透测试实战指南》,目前在编Python渗透测试,JAVA代码审计和二进制逆向方面的书籍。

团队公众号定期分享关于CTF靶场、内网渗透、APT方面技术干货,从零开始、以实战落地为主,致力于做一个实用的干货分享型公众号。

官方网站:www.ms08067.com

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2020-02-26,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 Ms08067安全实验室 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 本专题文章导航
  • 免杀能力一览表
  • 前言
  • 安装veil
    • 常规安装失败
      • Docker安装
      • veil使用
      • 使用veil直接生成exe(VT查杀率44/70)
      • 使用veil+mingw-w64(VT查杀率23/71)
      • 小结
      • 参考整理
      相关产品与服务
      容器镜像服务
      容器镜像服务(Tencent Container Registry,TCR)为您提供安全独享、高性能的容器镜像托管分发服务。您可同时在全球多个地域创建独享实例,以实现容器镜像的就近拉取,降低拉取时间,节约带宽成本。TCR 提供细颗粒度的权限管理及访问控制,保障您的数据安全。
      领券
      问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档