木马免杀实践-golang

已于 2024-01-11 16:36:31 修改
阅读量2.1k 收藏 4
点赞数 2
分类专栏: 其他文章 文章标签: 免杀 golang 木马 python cobaltstrike
于 2021-08-09 13:16:51 首次发布
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/lhh134/article/details/119535564
版权

0x01 简介

这里以github上一个golang免杀项目为例,项目地址:https://github.com/yumusb/CS-Loader/tree/master/go%E7%89%88%E6%9C%AC,原项目使用方法如下,根据其要求生成cobaltstrike木马后,上传virustotal,免杀效果已经比较差了,且生成木马大小为5.9M,比较大。

0x02 解读原项目

原项目–python加密部分
此项目加密shellcode采用的方式是base64 -> RC4加密 -> base64,加密完成后,将返回的shellcode追加到事先准备好的图片中。
在这里插入图片描述在这里插入图片描述在这里插入图片描述
原项目–Golang解密部分
解密部分主要是通过get请求获取图片内容,分割图片获取shellcode,再进行base64解密 -> RC4解密 -> base64解密。
在这里插入图片描述

0x03 修改项目

思路:
这里我们可以考虑修改原项目图床的加密方式,猜测各类杀软可能对这种shellcode的获取方式进行了特征提取,因此我们可以尝试通过以下几个方面进行修改。
1.将原项目图床shellcode加载改为本地加载。
2.用rc4对shellcode加密时,拼接一段垃圾数据,在golang解密时通过分割去除垃圾数据。

生成cobaltstrike C64位shellcode,将shellcode填到脚本中。
在这里插入图片描述注释源项目图片追加shellcode的代码,直接将拼接脏数据的shellcode打印出来。
在这里插入图片描述在这里插入图片描述
注释get请求相关的代码,直接将python加密生成的shellcode赋值给“raw”变量。以特定值分割脏数据,获取shellcode。
在这里插入图片描述在这里插入图片描述
编译生成木马。
命令:go build -ldflags=“-H windowsgui” xxx.go(带上这些选项生成的木马不会弹出黑框。)
在这里插入图片描述
效果:
在这里插入图片描述
木马virustotal查杀对比:
VT的还是查出了9个,但基本都为国外杀软,应对国内杀软已经足够啦。
在这里插入图片描述

LQxdp
关注
专栏目录
go-packer:golang打包二进制进行免杀
04-07
go-packer golang打包二进制进行免杀
typescriptify-golang-structs:Golang结构到TypeScript类的接口转换器
05-07
go get github.com/tkrajina/typescriptify-golang-structs/tscriptify 图书馆: go get github.com/tkrajina/typescriptify-golang-structs 用法 使用命令行工具: tscriptify -package=package/with/your/...
Go编写免杀木马
渗透测试
06-28 1038
启动main.go -》 加载x1.bin -》加载x2.bin。
GoPass系列免杀基础(一)_go语言免杀
最新发布
2401_86372325的博客
09-07 512
这是一个以 C++ 为语言的加载器,C++ 有很多 Shellcode 加载器,远程注入等等多种多样的,有些被杀软特征记录,那么就需要换一个不被记录的。
WEB渗透免杀篇-Golang免杀
qq_59468567的博客
08-20 778
参数解释: garble(混淆库): -tiny 删除额外信息 -literals 混淆文字 -seed=random base64编码的随机种子 go: -w 去掉调试信息,不能gdb调试了 -s 去掉符号表 -H windowsgui 隐藏执行窗口,不占用 cmd 终端。复制到aes-sc.go中的51行替换payload 运行aes-sc.go生成AES加密后的值。复制输出的值到go-sc.go中的73行替换payload 编译成exe可执行程序。
Golang免杀-编码加密-Xor(GG)
金灰的博客
06-09 537
首先,cs.msf生成比特流数据.放入xor,py脚本中进行xor加密.
探秘DarkPulse:Go语言编写的高级Shellcode Packer
gitblog_00100的博客
05-30 862
探秘DarkPulse:Go语言编写的高级Shellcode Packer 项目地址:https://gitcode.com/fdx-xdf/darkPulse Shellcode打包器DarkPulse以其独特的技术特点和强大的反杀毒能力,为安全研究人员提供了一种全新的解决方案。这个开源项目由Go编写,专门设计用于生成多样化的shellcode loader,能够有效躲避包括火绒和360核晶在内...
Golang-Gin 框架写的免杀平台,内置分离、捆绑等多种BypassAV方式
qq_53058639的博客
02-27 448
Golang-Gin 框架写的免杀平台,内置分离、捆绑等多种BypassAV方式。
木马免杀浓缩精华版教程
07-13 837
木马免杀浓缩精华版教程木马免杀浓缩精华版教程第一部分:对国内外杀毒软件分析   在讲定位内存特征码前,先要分析国内外著名杀毒软件的内存查杀特点。大家在使用木马过程都会发现,内存查杀,一般都指得被瑞星的内存查杀。瑞星的内存查杀功能是同类杀毒软件中最强的一款杀毒软件。像强悍的卡巴,金山,等等它们的内存查杀意义不大,会制作免杀木马的人都知道,像这类杀毒软件,只要文件免杀,内存也就免杀了.还有江民也有
木马免杀全攻略
tony的专栏
10-25 2113
木马免杀全攻略[续](图) 大家好,很高兴又与大家见面了,不知道大家对上期的文章是否满意,但是木马免杀很多啊!可是我只介绍了可执行文件木马免杀这一种,而关于脚本木马免杀只字未提,真是惭愧……'j6S-U1q:s5l在这篇文章里我会尽量补充上篇文章的不足,系统地介绍一下脚本木马免杀方法。$K0N4L'V z%s2Z关于脚本木马的查杀原理与可执行文件木马大体相同,所以在这里就不再介绍杀毒软件的
go-toolset-7-golang-bin-1.8.3-4.el7.x86_64.rpm
12-27
官方离线安装包,亲测可用。使用rpm -ivh [rpm完整包名] 进行安装
update-golang:update-golang是一个脚本,可以轻松地获取和安装新的Golang版本,并减少系统入侵
02-03
`update-golang-master` 这个压缩包文件名可能表示这是`update-golang`项目的源码主分支,用户在下载后可以查看源码,理解脚本的工作原理,甚至根据自身需求进行定制或扩展。对于有经验的开发者来说,这是一个很好的...
vscode-golang-docker:在Docker容器内进行开发环境
05-12
vscode-golang-docker vscode-golang-docker是Docker容器内的Go开发环境。 它由Visual Studio Code和各种扩展组成,可帮助您编写,构建,测试和调试Go应用程序。 它还将通过使用linters和其他支持工具来帮助您编写...
pre-commit-golang:预先提交golang
04-08
提交前的golang 用于golang钩子 使用这些钩子 将此添加到您的.pre-commit-config.yaml - repo: git://github.com/joker8023/pre-commit-golang rev: master hooks: - id: go-fmt - id: go-vet - id: go-lint ...
2024年Go最新GoPass系列免杀基础(一)_go语言免杀Golang框架体系架构的知识
2401_84910977的博客
05-11 1228
前提 Shellcode 已测试过单独运行不被拦截,那么现在需要排查的这个加密是不是太过简单,而且这样需要考虑到,大批量用户使用时,很多十六进制都是固定的,那么也会被特征标记,如果全家桶拦了,相信你也可以动手改一改,你可以将 ascii 码加上一个数如 252+200=457,载入时,再减去。而且每个十六进制占一位,并且自己有位置编号,可以将他们提出来总结,并且 ascii 编码(\xfc为252 \xbb为187 \xaa为170),这样我们有 ascii 码,有数量,有位置,就可以还原回去。
毕业一年,从事运维感觉没有出路,如何转型更有前景?
Python_0011的博客
07-08 872
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
geoip2-golang
05-25
geoip2-golang 是一个 Go 语言库,用于解析 MaxMind GeoIP2 数据库。这个库可以让你轻松地将 IP 地址与其对应的地理位置信息匹配起来。GeoIP2 数据库包含详细的地理信息,例如国家、州/省、城市、邮政编码、经度和纬度等。您可以使用这些信息来进行地理定位、地理分析、以及其他与地理信息相关的操作。geoip2-golang 库是在 Apache 2.0 许可证下发布的,可以免费使用和修改。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

LQxdp

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值