远控免杀专题-SpookFlare免杀

声明：文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！

本专题文章导航

22.远控免杀专题(22)-SpookFlare免杀(VT免杀率16/67)：

文章打包下载及相关软件下载：

免杀能力一览表

几点说明：

1、上表中标识 √ 说明相应杀毒软件未检测出病毒，也就是代表了Bypass。

2、为了更好的对比效果，大部分测试payload均使用msf的模块生成。

3、由于本机测试时只是安装了360全家桶和火绒，所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本(2020.01.01)，火绒版本(2020.01.01)，360安全卫士(2020.01.01)。

4、其他杀软的检测指标是在（简称VT）上在线查杀，所以可能只是代表了静态查杀能力，数据仅供参考，不足以作为免杀或杀软查杀能力的判断指标。

5、完全不必要苛求一种免杀技术能bypass所有杀软，这样的技术肯定是有的，只是没被公开，一旦公开第二天就能被杀了，其实我们只要能bypass目标主机上的杀软就足够了。

一、SpookFlare介绍

SpookFlare，2018年开源的工具，目前还在更新，使用了多种方式进行bypass。可直接生成基于Meterpreter、Empire、Koadic等平台的的shellcode，并对代码进行混淆、二次编码、随机填充字符串等，从而达到较好的免杀效果。

二、安装SpookFlare

安装相对比较简单

先从github上clone到本地

进入目录，安装python依赖库

执行即可

三、SpookFlare使用说明

SpookFlare支持生成4类payload，分别是msf的exe程序(需要自己编译)、msf的ps1脚本(做了免杀混淆)、hta文件、office宏代码。

SpookFlare对每个payload都进行了代码混淆处理，基本都加入了随机代码来保证免杀效果能好一些。

感兴趣的可以查看目录下的响应加密处理文件。

四、利用SpookFlare生成后门

还是以生成msf的payload为例进行测试

使用info命令，可查看配置参数，值为yes的说明需要配置

配置IP、端口、系统架构(x86或x64)、使用协议(仅支持http和https)

使用命令生成

生成的c#文件

需要使用csc.exe编译成exe,命令格式如下

执行后可正常上线

打开杀软进行测试，360杀毒可查杀，火绒没有预警。

virustotal.com上查杀率为16/67，在exe里面能算一般以上了。

后来试了下SpookFlare生成的powershell和hta、vba脚本，免杀效果还挺不错的。

五、SpookFlare小结

SpookFlare使用了多种方式进行免杀，exe的免杀可能效果不算太出色，但是对powershell脚本和hta文件等的免杀做的还是不错的，基本静态查杀都能bypass。

SpookFlare目前是2.0版本，不知道什么原因没法直接生成exe文件了，在1.0版本里可以直接生成基于msf的exe文件。

在这里可以下载到1.0版本。

六、参考资料

官方github：

:

E

N

D