专栏首页Ms08067安全实验室远控免杀专题(13)-zirikatu免杀(VT免杀率39/71)

远控免杀专题(13)-zirikatu免杀(VT免杀率39/71)

声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!

文章打包下载及相关软件下载:https://github.com/TideSec/BypassAntiVirus


免杀能力一览表

几点说明:

1、上表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass。

2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。

3、由于本机测试时只是安装了360全家桶和火绒,所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(2020.01.01),火绒版本5.0.34.16(2020.01.01),360安全卫士12.0.0.2002(2020.01.01)。

4、其他杀软的检测指标是在virustotal.com(简称VT)上在线查杀,所以可能只是代表了静态查杀能力,数据仅供参考,不足以作为免杀的精确判断指标。

5、完全不必要苛求一种免杀技术能bypass所有杀软,这样的技术肯定是有的,只是没被公开,一旦公开第二天就能被杀了,其实我们只要能bypass目标主机上的杀软就足够了。


一、zirikatu介绍

zirikatu是一个用bash编写的小脚本,依赖于msf、mono、mcs等软件,也是调用msfvenom生成shellcode,然后将shellcode嵌入C#代码,试用Mcs编译生成exe后门。

Mono可以让.NET程序跨平台运行在Linux,BSD,Windows,MacOS,Sun Solaris,Wii,索尼PlayStation,苹果iPhone等几乎所有常见的操作系统之上。从Mono2.11版本开始,采用的编译器叫mcs,它的作用是将C#编译为CIL(Common Language Infrastructure,通用中间语言,也叫MSIL微软中间语言,这个语言能运行在所有支持CIL的环境中)

二、安装zirikatu

下载到本地

git clone https://github.com/pasahitz/zirikatu.git

三、zirikatu使用说明

执行命令

chmod +x zirikatu.sh
./zirikatu.sh

四、生成后门

还是使用最常规的reverse_tcp进行测试,选项都比较简单,默认填写就可以

测试机执行,360和火绒静态检测和动态检测都可以bypass

那个弹窗是我故意加的,生成payload的时候不加就可以

msf可正常上线

virustotal.com中39/71个报毒,以为能过360和火绒,免杀应该不错的...

五、小结

zirikatu利用msfvenom生成shellcode,之后再进行一定处理,编译生成exe。原理比较简单,操作比较方便,免杀效果相比专题12里的Green-Hat-Suite来说虽然一般,但能过360、火绒和瑞星的确有点出人意料。

参考

Msf&zirikatu免杀结合利用:http://www.secist.com/archives/3113.html

本文分享自微信公众号 - Ms08067安全实验室(Ms08067_com),作者:重剑无锋

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-03-30

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • APP | edxposed框架+trustmealredy模块抓包小程序

    一、下载edxposed框架,由于安卓5.0版本以下的不支持老版本的框架,所以到如下链接下载

    徐焱
  • 栈溢出入门系列-临近变量淹没

    程序未对输入的密码进行长度检测,接收密码的缓冲区只有8,而输入的密码最长可以输入1024。判断密码是否正确的变量authenticated存储在栈中,当输入的密...

    徐焱
  • Vulhub系列:Os-hackNos

    靶机链接: https://www.vulnhub.com/entry/hacknos-os-hacknos,401/

    徐焱
  • 加深友谊全靠它!快用这个小程序,开启你和小姐姐的旅途吧

    春节假期降至,很多人都会选择这时和几个好友一起去旅游,在放松心情、缓解压力之余还能加深友谊。

    知晓君
  • 关于mybatis的思考(1)——mybatis的使用实例

    Mister24
  • 关于mybatis的思考(1)——mybatis的使用实例

    Mister24
  • 【干货】从配置到实例:MyBatis 基础入门

    本质而言,ORM(Object-Relation Mapping),是一种编程技术,能够实现面向对象编程语言与关系型数据库之间的数据转换(映射)。

    CSDN技术头条
  • Sedo榜单46个.com域名上榜,magicfiber.com位居榜首

    Sedo榜单46个.com域名上榜结拍,magicfiber.com位居榜首拍得2.8万美元,超过了18万元。同时上榜的还有16个国别域名、ai....

    躲在树上的域小名
  • 干货 | 小程序多页面接口数据缓存

    小程序里面多个页面,有时候会需要用到同一个接口的数据。而这些数据全局来说只需要拉取一遍,如果要存到缓存,要怎么保证其他页面取缓存的时候,数据已经拉取回来了呢?

    腾讯NEXT学位
  • 电脑屏幕闪烁怎么办?教你两种解决方法

    电脑是必不可少的办公工具,如果电脑不能正常运作会直接导致我们的工作无法正常进行。我们的电脑有时候会出现屏幕一直闪烁的情况,特别影响正常使用电脑...

    高效办公

扫码关注云+社区

领取腾讯云代金券