钓鱼鱼前写免杀马的tips


攻防中钓鱼是红队很好的突破口,而免杀马也是重中之重。😚😚😚

写免杀马tips

做马 发马 风险度提升的操作

1:exe释放文件

打开exe释放docx 文件等2022可用,2023下半年以后不可用了。【释放文件是高危操作】

2:增加logo会增加风险

给马exe添加logo图标会增加风险【docx、wechat等 logo也会被标记、用logo图片前最好加噪点改变特征值,不是hash值】

3:只生成一个exe进行钓鱼

只用一个exe,那如果被应急了,hash一查,直接所有下线了。

多搞两个,容灾备份。

4:没有好用的壳子不要瞎用

都知道加壳能过静态(简单的特征匹配),但烂大街的壳子特征码都已经提取完了。别用了。

5:敏感函数、敏感操作慎用

调用敏感的api/敏感函数

6:有时反沙箱的操作会增加杀软的查杀率【但还是做了要比不做好】

规避沙箱的操作

防止自己的代码被放到沙箱内调试,需要做一些规避操作。【下方如果说了函数,默认用的都是c++的】

延迟执行shellcode 【常用】

(在进行一些沙箱检测时,通常运行时间较短–》延迟执行Shellcode提高马子的安全性。)

检测系统的运行状态(比如:检测时间是否被加速)

为了更真实地模拟用户行为,一些沙箱环境可能在某些操作上加速执行时间,以便在有限的时间内完成更多操作,提高模拟真实用户的效果。

检测鼠标是否移动

(GetCursorPos函数来获取鼠标的当前位置,然后通过定时检测鼠标的位置变化来判断是否发生了鼠标移动。)

检测CPU核心数量

(GetSystemInfo函数的dwNumberOfProcessors)

检测内存空间

(是否大于4G)

判断磁盘大小

(是否大于80G)

判断文件名是否被修改

(发马给受害者,受害者肯定不改名,沙箱的文件可能会改)

判断是否有微信、qq、chrome、wps等其他软件正在运行或者已安装
注册表、dll等

等等等 还有很多其他的 沙箱自己的策略也很多来对抗免杀的,还是要看具体沙箱吧,不好说。

目前可过的马

havoc目前仍可过,攻防自取。【过火绒、360、电脑管家】动静都过。

https://github.com/HavocFramework/Havoc

【TeamServer端是golang写的,Agent端是C写的,UI :C++基于QT的】

存疑【待解】

杀软是否是对Resource Hacker进行捆绑图标的操作加了特征码?

1:首先要看这个软件捆绑logo操作是否存在固定特征码。

【捆绑logo的软件是否被标记,捆绑logo这一操作会否增加了特定软件固定的特征值 ,这关系到这个软件是否还能再用】

2:进行测试。


文章作者: highgerms
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 highgerms !
  目录