上一篇文章不是讲了一下GitHub上的Hell's Gate的原理吗,于是小编就对地狱之门进行了简单的魔改,一起来看看它的免杀效果吧!!
目录
1.声明(宇宙免责)
本人所有文章以及代码均为技术分享,均用于红队人员在授权环境下测试为目的的记录,所有操作均在实验环境下进行,请勿用于其他用途,否则后果自负。
::网络并非法外之地,自觉守法
2.对HellsGate的调整
- 增加了抗沙箱的操作(延时判断)。
- 启发式对抗杀软。
- 更换部分函数,结构体,变量的名字。
- 将shellcode的读取设置为分离式。
- 引入shellcode的AES加解密。
- 采用白加黑进行对抗
- 生成的黑DLL进行源DLL的自签名,详细信息的添加
3.国内AV对抗
1.火绒
首先肯定是火绒,额,个人评价。。。。。。 不好评价,纯纯** 下一个
2.360全家桶(开核晶)
个人感觉360还是信任度的问题,现在360开了核晶之后查杀力度很强(QVM杀疯了),像以前的打图标,自签名,详细信息,已经过不了了(大部分),现在白加黑还是最稳定的,基本上只要你是白加黑,而你的黑DLL又不是直接最简单的VirtualAlloc memcpy void(*)()执行,基本上都不杀
4.国外AV对抗
1.Windows Defender
在某种程度上来说Windows Defender比360还强大,首先他是有沙箱的,其次就是他就算你是白加黑,你的黑DLL他也是会扫描的(他可不惯着你),也会对后续通信的流量扫描(这里我配了C2 profile!)
2.ESET
eset也是不会惯着你的!! 他也会对你的黑DLL进行扫描,所以如果你的Loader太垃圾,或者特征库被匹配到的话还是会杀掉你的!!!
3.Symantec
这个可是杀CS的高手,以前我用过一些白加黑也过不了,它的静态查杀能力太强了,需要做一些域前置或者云函数这些,但是我没做,只是单纯的改了一个C2 Profile ,当时是过了的,可能是侥幸,最好还是做一下云函数!
4.Kaspersky
这里是免费版本的卡巴斯基,能上线,不过我们众所周知卡巴斯基强大的是内存扫描,基本上只要你不是太离谱上线还是没问题,但是后面内存扫描你就活不久了!!!
但凡那你扫描一下就死掉了
5.国外EDR对抗
这里为什么直接拿国外的呢,大家懂得都懂,国内的EDR 。。。。。。
1.Trellix EDR
听说这是一款麦咖啡和火眼结合的EDR(火眼也曾是国外的TOP XDR啊),但是感觉查杀力度还是信任度的问题,我测这款EDR基本上都是白加黑,从来没有报过毒
2.Kaspersky EDR
这个就比免费版本的卡巴斯基厉害很多了(机器学习,在线分析,监测网络行为等等的都有)
但是也还是能成功上线,这也正是上面我讲到的,上线不是难事,只要Loader不是很垃圾,但是活不久,可能一段时间之后就会被查杀了!!!!
还是死,一样的,卡巴内存扫描
6.总结
以上展示了我们一些AV和EDR对抗,至于为什么没有XDR,那是因为我没有(不过就算有也应该对抗不过),可以看出地狱之门这种调用链下,能bypass掉市面上的所有杀软(不包含一些EDR和XDR,卡巴) ,就算有一些杀软,像Symantec当时被Bypass,有可能后面就要杀或者说只是侥幸上线而已(这没有栈回溯吗???),真正去对抗这些杀软,应该是
- 自研C2(或者你把CS二开的面目全非)
- 调用链复杂,不是简单明了的那种垃圾调用链
- 危险操作需要特殊处理(比如说添加用户,dump lsass ,dump密码)
- C2 Profile !! 更改流量特征
- 不要用Shell 命令或者PowerShell !!! CS的Fork && Run 去起进程是很危险的操作,BOF执行才是出路!!!