红蓝对抗之红队免杀开发实践

已于 2024-02-04 07:33:07 修改
阅读量1.9k 收藏 6
点赞数 3
分类专栏: 全栈网络安全 渗透测试 代码审计 网络安全工具开发 文章标签: 安全
于 2022-08-04 20:19:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35029061/article/details/126135479
版权

在模拟对抗过程中,“初始访问”阶段的一个关键挑战,就是绕过企业端点上的检测和响应能力 (EDR)。由于商业的c2框架向红队队员提供的是不可修改的shellcode和二进制文件,所以,安全解决方案供应商会提取这些代码的特征(或者成为签名),那么,为了植入这些代码,红队就必须对其特征(静态和行为特征)进行必要的混淆处理。

在这篇文章中,我将介绍以下技术,最终目标是执行恶意shellcode,也称为(shellcode)加载程序:

  1. Shellcode加密技术
  2. 降低熵值
  3. (本地)AV沙箱逃逸技术
  4. 导入表混淆技术
  5. 禁用Windows事件跟踪 (ETW)
  6. 规避常见的恶意API调用模式
  7. 使用直接系统调用并规避“系统调用标记”
  8. 删除ntdll.dll中的钩子
  9. 伪造线程调用堆栈
  10. beacon的内存加密
  11. 自定义反射型加载程序
  12. 利用柔性配置文件配置OpSec

一、Shellcode加密技术

让我们从一个基本且很重要的话题开始,shellcode静态混淆。在我的加载程序中,我利用了XOR或RC4加密算法,因为它们不仅易于实现,而且不会留下太多加密活动的痕迹。如果用AES加密来混淆shellcode的静态特征的话&#

了解本专栏 订阅专栏 解锁全文 超级会员免费看
wespten
关注
专栏目录
订阅专栏
Ms08067红队学员 “红蓝实战对抗”报告
Ms08067安全实验室
12-23 844
MS08067红队攻防从第二期班开始增加了“实战对抗”环节,为了模拟真实环境将采用两个不同的云服务提供商搭建真实环境,将同学分为AB两队,一攻一守,实现既有攻击也要有防御更要有反制的全面内...
红队作业 | 免杀Meterpreter java马
Ms08067安全实验室
01-17 963
文章来源|MS08067 红队培训班 第5期本文作者:aeqaq(红队培训班5期学员)按老师要求尝试完成布置的作业如下:目标:分析msf meterpreter java马的原理,然后自己...
红队专用免杀
逍遥小哥的博客
09-01 830
Phobos 是一款红队专用免杀木马生成器,采用 PEM 加密动态嵌入 XOR 的方式生成木马,生成木马可以自定义名称和ICO图标。大家好,最近一段时间在忙着写文档,今天空出来的点时间跟大家分享一款好用的免杀器。因为要输入shellcode 我们先暂停住 我们去用cs生成shellcode。应一位大佬的话 能过win10的马才是牛,我们去过一下win10。回到我们刚才的页面输入shellcode。这有一个在线转换ico图标的网站。打开cs的过程我就不演示了。输入ico的路径即可生成。
推荐项目:SysWhispers3 —— 打破常规的系统调用黑科技
最新发布
gitblog_01090的博客
08-19 725
推荐项目:SysWhispers3 —— 打破常规的系统调用黑科技 SysWhispers3SysWhispers on Steroids - AV/EDR evasion via direct system calls. 项目地址:https://gitcode.com/gh_mirrors/sy/SysWhispers3 在当今的安全研究领域,规避高级安全防护机制已成为红队操作和逆向工程中不...
红队在线免杀-护网行动必备【附工具】
jijisaq的博客
03-14 905
1、轻松使用 通过简单的上传操作,用户可以生成免杀 Payload,无需手动配置和编码。 2、时间节省 减少协作时的环境配置和手动操作,提高效率。 3、模板化 用户可以通过配置文件快速应用不同的载入方式,增加生成的 Payload 的多样性。 生成的压缩包密码为 yutian 支持编译 nim、go、c 语言 支持 3 种 shellcode 存储方式(内嵌、本地、远程) 8 种加载方式 (Golang):
【网络安全红队攻防之基础免杀
heikeyouyou的博客
05-16 129
记一次【网络安全红队攻防之基础免杀
红队开发基础-基础免杀
include_voidmain的博客
06-28 948
红队开发基础-基础免杀
红蓝对抗」与业务融合的漏洞检测之路-猪猪侠-20150112 - 区块链.zip
11-28
综上所述,"红蓝对抗"与业务融合的漏洞检测是现代企业网络安全的重要策略,涉及到数据安全安全防御、开发安全以及具体的C#安全实践。通过这种方式,企业可以更有效地预防和应对APT等高级威胁,同时确保业务的连续...
「系统安全」智能硬件安全测试的常用方法 - 红蓝对抗.zip
11-29
红蓝对抗是一种模拟实战的安全测试方式,其中,“红队”代表攻击者,尝试找出系统的漏洞和弱点;而“蓝队”则扮演防御者的角色,负责保护系统不受攻击。这种对抗性的测试方法有助于提升系统的整体安全性,确保在实际...
「Android」最佳实践 - (安全技术资料共1份).zip
02-05
6. **红蓝对抗**:介绍模拟攻击(红队)和防御策略(蓝队)的概念,以测试应用的安全性,并不断优化防御机制。 7. **更新与补丁管理**:讨论如何及时发布安全更新和补丁,修复已知漏洞,保持应用安全状态。 8. **...
SysWhispers:通过直接系统调用规避AVEDR
05-30
系统私语 SysWhispers 通过生成植入程序可以用来进行直接系统调用的头文件/ASM 文件来帮助规避。 从Windows XP到Windows 10 19042(20H2),都支持所有核心syscall。 在example-output/文件夹中可用的示例生成文件。 介绍 各种安全产品在用户模式 ​​API 中放置钩子,允许它们将执行流重定向到它们的引擎并检测可疑行为。 ntdll.dll中生成系统调用的函数仅包含一些汇编指令,因此在您自己的植入物中重新实现它们可以绕过这些安全产品挂钩的触发。 该技术由推广,他的有更多值得阅读的技术细节。 SysWhispers 为红队人员提供了为核心内核映像 ( ntoskrnl.exe ) 中的任何系统调用生成标头/ASM 对的能力,该功能适用​​于从 XP 开始的任何 Windows 版本。 标头还将包括必要的类型定义。 这与 POC 之
SysWhispers2_x86:X86版本的syswhispers2 x86直接系统调用
03-06
SysWhispers2_x86 SysWhispers2只支持x64,在此基础上作一点微小的工作,使用方法与注意要在vs x86模式编译生成,不要在x64模式。 由于syswhisper2仅支持x64,因此我们在此基础上做了一些工作,其使用方法与syswhisper2相同。 SysWhispers2_ x86_ Sysenter负责生成32位程序并在32位系统上运行,Syswhisper2_ x86_ Wow64gate负责生成32位程序并在64位系统上运行。 当心! 在vs x86模式下构建,而不在x64模式下构建。
Doge-sRDI:Golang的反射式DLL注入的Shellcode实现。 将DLL转换为与位置无关的Shellcode
04-01
:frog: 青蛙自动扫描 :dog_face: 总督为国防规避和进攻安全 总督 Golang的反射式DLL注入的Shellcode实现。 将DLL转换为与位置无关的Shellcode 非常感谢Sliver项目和leoloobeek 用法 srdi.exe [dllName] [Args(不必要)] [entryPoint(不必要)] PS D:\> .\srdi.exe .\Outflank-PsC.dll Outflank-PsC.bin PS D:\> .\loader.exe .\Outflank-PsC.bin 1 Mess with the banana, die like the... banana? -------------------------------------------------------------------- [+] ProcessName: svchost.exe
红队免杀培训第一章-不可执行的shellcode
Gamma_lab的博客
03-05 621
临近全国hw,后面会陆续推出红队免杀培训文章,希望能到诸君能在赛场上乱免,不会把现成的加载器放出来,但是例子改一下就是一个好的加载器,强调一遍,免杀并不是一种技术的一支独秀,而是百花齐放! 前言: ​ 这里照常去做CS的免杀加载器的实现,因为用先有的c2框架是非常方便顺手,当然你自己开发的c2框架也行,肯定也有生成shellcode这个功能,也需要进行内存执行的需求。 ​ 今天要讲的这种原理是根据ntdll.dll先有的指令来执行我们的代码,恶意代码保存在于数据部分中,这种的好处是我们绕过了不可执行的内
Windows defender bypass | 免杀
jijisaq的博客
06-14 629
在制作免杀的过程中,翻找 Windows 官方对 Windows Defender 的介绍,发现有这样一个目录:Configure Microsoft Defender Antivirus exclusions on Windows Server(在 Windows server 中配置defender排除项)。简而言之就是在 Windows Server2016 和 2019 中,Windows Defender 默认存在一些排除项,在实时检测过程中会忽略这些排除项,但是主动扫描的时候不会排除。
第116天:免杀对抗-EDR&Syscall-hook&DLL反射注入&白加黑&隐写分离&加载器
qq_46081990的博客
07-23 969
之前介绍的是exe,现在讲的是"dll加载",当然exe的免杀技巧也可以用到dll加载上,比如加密混淆、分离等 dll加载主要涉及以下几种方式: 1、自写DLL调用加载: 由于dll无法直接执行,所以可以写一个py文件打包成exe,其只是用来调用dll,而dll中写有shellcode 2、DLL劫持-白加黑-导入加载: 利用进程工具获取白应用执行要加载哪些dll,将其中某个dll导入pe工具添加恶意dll函数,然后替换原来的dll,最后运行白应用 3、DLL劫持-白加黑-导出编译:(适用某些会检测dll
免杀实战知识汇总~
Ms08067安全实验室
09-21 520
“第二期”2022.9.30开班第二期新增:除了对课程进行了优化,另增加了2节课,免杀实战中的常见技法,dll文件及编写和反沙盒和反调试机制;常见的恶意代码中的加壳和常见的恶意代码中的脱壳。免杀,wiki百科:反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-AntiVirus(简写Virus AV),逐字翻译为“反-反病毒”,翻译为“反杀...
探索SysWhispers3WinHttp:一款强大的Windows系统调用隐蔽通信工具
gitblog_00002的博客
04-18 406
探索SysWhispers3WinHttp:一款强大的Windows系统调用隐蔽通信工具 SysWhispers3WinHttpSyscall免杀项目地址:https://gitcode.com/gh_mirrors/sy/SysWhispers3WinHttp SysWhispers3WinHttp是一个开源项目,由GitHub用户huaigu4ng开发,其主要目标是提供一种在Windows环...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wespten

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值