go混淆实现bypassAV(cobaltstrike免杀)

已于 2023-02-10 17:22:33 修改
阅读量1k 收藏
点赞数
分类专栏: Cobalt Strike 文章标签: 服务器 安全 运维
于 2023-02-09 14:20:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32445755/article/details/128951913
版权
本文介绍了如何使用Go混淆技术来实现bypassAV,特别是在 CobaltStrike 的免杀场景中。通过条件触发的方式避免云沙箱检测,详细讲述了免杀原理、设置条件触发的方法以及具体的操作步骤,包括利用参数输入、文件存在性检查来控制程序执行,以达到规避杀软检测的目的。
摘要由CSDN通过智能技术生成

 简介

近两年随着hw和红蓝对抗的增多,接触到的提权、内网渗透、域渗透也越来越多。攻击能力有没有提升不知道,但防护水平明显感觉提升了一大截,先不说防护人员的技术水平如果,最起码各种云WAF、防火墙、隔离设备部署的多了,服务器上也经常能见到安装了杀软、软waf、agent等等,特别是某数字杀软在国内服务器上尤为普及。这个时候,不会点免杀技术就非常吃亏了。

免杀,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-AntiVirus(简写Virus AV),逐字翻译为“反-反病毒”,翻译为“反杀毒技术”。

条件触发式远控 VT 5/70 免杀国内杀软及defender、卡巴斯基、火绒等主流杀软 

免杀原理

条件触发 

众所周知,现在很多杀软都有云查杀,会把我们的样本扔到沙盒跑一跑。

由于不知道具体规则,这里猜测沙盒可能从两个点对样本进行查杀 第一个是hash/提取的特征 第二种是跑一遍软件看行为。

那我们就一个一个来,首先看一下我们的样本有没有被提取特征,这也是最伤筋动骨的,如果被提取了特征那么就得重新对源码进行修改

将加载的shellcode从源码去掉,然后生成exe查杀:

既然沙盒一定会跑一次

了解本专栏 订阅专栏 解锁全文 超级会员免费看
qq_1136014935
关注
专栏目录
订阅专栏
Cobalt Strike免杀(完结)
qq_32445755的博客
04-18 880
多字节 XOR 或 AES 加密的 shellcode 生成payload 环境 linux python2 工具ShellcodeWrapper 查看python位置 python -c "import sys; print sys.executable" pip2 安装 # 安装setuptools wget https://pypi.python.org/packages/source/s/setuptools/setuptools-18.5.tar.gz tar ..
闲谈 bypass AV
Coisini的博客
06-23 4974
孩纸,看到AV别乱想~这里说的AV是AntiVirus。即杀软。(这些日子考试繁重,更的少了…) 本篇文章简单说一下本人平时常用的免杀工具以及其使用~ 0x00 Hyperion 第一个说说这个 Hyperion,因为比较轻量级~,为什么说轻量级呢,因为,360杀毒能检测出。。 其实 Hyperion 是一款加密工具,通过5轮AES加密来加密的你payload,加密完成后的payload是可以...
cobaltstrike4.3插件——BypassAV免杀使用
wdsj_xh的博客
05-12 6039
0x01* 环境介绍 本次免杀所使用的是shellcode分离免杀技术 cobaltstrike4.3客户端:Windows10 专业版 cobaltstrike4.3客户端:自己VPS CS版本:4.3 语言环境:Golang,插件需要本地安装Golang环境,生成木马时会调用编译 cobaltstrike4.3下载和使用见前面文章,CSDN应该发不了破解类东西啦,贴下自己网站链接 http://www.digter8.com/391.html CS 4.3下载 http://www.digter8.co
go get 的不再src目录中_Blackrota, 一个Go开发的高度混淆的后门
weixin_39524984的博客
11-28 180
概述最近,我们通过 Anglerfish 蜜罐捕获到一个利用 Docker Remote API 未授权访问漏洞来传播的 Go 语言编写的恶意后门程序,鉴于它上线的 C2 为 blackrota.ga ,我们把它命名为 Blackrota。Blackrota 后门程序目前只有 Linux 版,为 ELF 文件格式,支持 x86/x86-64 两种 CPU 架构。Blackrota 基于 ...
Go代码混淆工具Garble:保护你的二进制秘密
最新发布
gitblog_01259的博客
10-18 306
Go代码混淆工具Garble:保护你的二进制秘密 garble Obfuscate Go builds 项目地址: https://gitcode.com/gh_mirrors/ga/garble ...
免杀工具BypassAv-web使用教程
kracer的博客
02-28 5394
0x01 介绍 nim 一键木马免杀项目,目前能完美过360、火绒等杀软。作者使用纯nim语言编写的shellcode记载器,代码基本是从之前c++版本平移过来,作者并没有提供部署教程,踩坑记录下。 0x02 使用教程 环境:ubuntu 20.4 安装: # 下载代码库 cd /root git clone https://github.com/M-Kings/BypassAv-web.git # 起个Ubuntu的docker 安装do...
通过包装Go工具链来混淆Go代码-Golang开发
05-26
通过包装Go工具链来混淆Go代码乱码GO111MODULE = on go获取mvdan.cc/garble通过包装Go工具链来混淆Go代码。 需要Go 1.16或更高版本。 garble build [build flags] [packages]该工具还支持garble test,以使用混淆后的代码运行测试,而garble反向则可对诸如堆栈跟踪之类的文本进行反混淆处理。 有关最新用法信息,请参见garble -h。 目的生成一个与常规版本一样工作的二进制文件,但是其有关原始源代码的信息越少越好。 该工具是
初探Go代码混淆 | Gopher Daily (2021.05.23) ʕ◔ϖ◔ʔ
TonyBai
05-23 500
每日一谚:Don't import an entire package if you only need a few functions or types from it.Go技术...
cobalt strike 4.7
06-07
Cobalt Strike 4.7 是一款广泛应用在网络安全领域的高级渗透测试工具,它主要用于模拟攻击者行为,评估组织的安全防御能力。C2(Command and Control)工具是指远程控制服务器Cobalt Strike 在此领域中扮演了核心...
cobaltstrike中文支持.zip
05-26
7. **反检测**: CobaltStrike的通信协议经过混淆,可以避开一些安全系统的检测,增加攻击的隐蔽性。 由于这是一个中文支持版本,可能包含以下改进: - 界面翻译:所有的菜单、提示和错误消息都进行了中文本地化,...
Cobalt Strike 免杀 python
07-20
对于 Cobalt Strike免杀技术,目前有很多方法可以实现。以下是一种使用 Python 的方法: 1. 首先,使用 Python 的 PyInstaller 或者 Py2exe 等工具将 Cobalt Strike 的主程序进行打包成可执行文件。 2. 接下来,...
garble:混淆Go构建
03-29
断章取义 GO111MODULE=on go get mvdan.cc/garble 通过包装Go工具链来混淆Go代码。 需要Go 1.16或更高版本。 garble build [build flags] [packages] 有关最新用法信息,请参见garble -h 。 目的 生成一个与常规版本一样工作的二进制文件,但其中包含的有关原始源代码的信息越少越好。 该工具旨在: 与cmd/go结合使用,以支持模块和构建缓存 给定相同的初始源代码,确定性和可重现性 在给定原始来源的情况下可逆,以消除混淆的恐慌痕迹 机制 该工具将对Go编译器和链接器的调用包装起来,以转换Go构建,以便: 用短的base64散列替换尽可能多的有用标识符 用较短的base64散列替换程序包路径 删除所有和信息 删除文件名和随机播放位置信息 剥离调试信息和符号表 如果给定了-literals标志,则对文字进
ejja:Go制作的模块化Go源代码级别控制流混淆
03-05
埃贾 用Go语言制作的模块化Go源代码级控制流混淆器。 在目标项目上运行选定的模块。 示范 快速开始 用法: λ ejja run -- project "samples" -- module "flattener" -- functions "main" [ + ] Running flattener .. [ + ] Found function `main` in `main` .. [ + ] Emitting body of the transformed function.. a := [] int { 2 , 212 , 3001 , 14 , 501 , 7800 , 9932 , 33 , 45 , 45 , 45 , 91 , 99 , 37 , 102 , 102 , 104 , 106 , 109 , 106 } var c10hsl3m9cj2
APCInjector-BYPASS-AV
05-20
APCInjector-BYPASS-OFF
Bypass AV meterpreter免杀技巧
weixin_30517001的博客
03-19 1780
0x01 meterpreter简介 MetasploitFramework是一个缓冲区溢出测试使用的辅助工具,也可以说是一个漏洞利用和测试平台,它集成了各种平台上常见的溢出漏洞和流行的shellcode,并且不断更新,使得缓冲区溢出测试变的方便和简单。 需要说明的是meterpreter在漏洞利用成功后会发送第二阶段的代码和meterpreter服务器dll,所以在网络不稳定的情况下经常出现没...
推荐开源项目:BypassAV - 条件触发式免杀远程控制工具
gitblog_00017的博客
06-08 494
推荐开源项目:BypassAV - 条件触发式免杀远程控制工具 去发现同类优质开源项目:https://gitcode.com/ 项目介绍 BypassAV 是一个开源项目,旨在提供一种条件触发式的远程控制解决方案,同时也能够有效避免被国内主流杀毒软件和如Windows Defender、卡巴斯基等国际知名杀软检测到。通过巧妙的编码与混淆技术,这个项目实现了5/70的低查杀率,从而提高了隐蔽性。 ...
go每日新闻(2021-05-20)——初探 Golang 代码混淆
韩亚军的博客
05-21 1125
每日一谚:”Debuggers don’t remove bugs. They only show them in slow motion.” go中文网每日资讯--2021-05-20 一、Go语言中文网 优化 Golang 服务来减少 40% 以上的 CPU fuckdb 新功能上线,开箱即用、更加强大的代码生成器 二、亚军进化史 Go技术日报(2021-05-19)——pprof++: 一个带有硬件监控的 Go Profiler 三、脑子进煎鱼了 Go 面试官问我如何实现面向对象? 一文.
go 二进制程序守护_Blackrota,一个Go开发的高度混淆的后门
weixin_39776344的博客
11-28 337
文章转载自Netlab三六零 概述近日,国内有关安全团队捕获到一个用 Go 语言编写的恶意后门程序,该程序利用 Docker Remote API 未授权访问漏洞来传播。由于它上线的 C2 为 blackrota.ga ,我们把它命名为 Blackrota。Blackrota 的后门程序目前只有 Linux 版,是 ELF 文件格式,支持 x86和x86-64 两种 CPU ...
GO比较容易混淆的地方
OSSRS
11-30 1259
GO比较容易混淆的地方GO在nil判断等方面容易混淆。nilGO的nil是带类型的,可以参考相关的文章。看下面的代码:import ( "io" "fmt" )type MyWriter struct { } func (w *MyWriter) Write(p []byte) (n int, err error) { return }func main() { va
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

qq_1136014935

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值