攻防中钓鱼是红队很好的突破口,而免杀马也是重中之重。😚😚😚
写免杀马tips
做马 发马 风险度提升的操作
1:exe释放文件
打开exe释放docx 文件等2022可用,2023下半年以后不可用了。【释放文件是高危操作】
2:增加logo会增加风险
给马exe添加logo图标会增加风险【docx、wechat等 logo也会被标记、用logo图片前最好加噪点改变特征值,不是hash值】
3:只生成一个exe进行钓鱼
只用一个exe,那如果被应急了,hash一查,直接所有下线了。
多搞两个,容灾备份。
4:没有好用的壳子不要瞎用
都知道加壳能过静态(简单的特征匹配),但烂大街的壳子特征码都已经提取完了。别用了。
5:敏感函数、敏感操作慎用
调用敏感的api/敏感函数
6:有时反沙箱的操作会增加杀软的查杀率【但还是做了要比不做好】
规避沙箱的操作
防止自己的代码被放到沙箱内调试,需要做一些规避操作。【下方如果说了函数,默认用的都是c++的】
延迟执行shellcode 【常用】
(在进行一些沙箱检测时,通常运行时间较短–》延迟执行Shellcode提高马子的安全性。)
检测系统的运行状态(比如:检测时间是否被加速)
为了更真实地模拟用户行为,一些沙箱环境可能在某些操作上加速执行时间,以便在有限的时间内完成更多操作,提高模拟真实用户的效果。
检测鼠标是否移动
(GetCursorPos函数来获取鼠标的当前位置,然后通过定时检测鼠标的位置变化来判断是否发生了鼠标移动。)
检测CPU核心数量
(GetSystemInfo函数的dwNumberOfProcessors)
检测内存空间
(是否大于4G)
判断磁盘大小
(是否大于80G)
判断文件名是否被修改
(发马给受害者,受害者肯定不改名,沙箱的文件可能会改)
判断是否有微信、qq、chrome、wps等其他软件正在运行或者已安装
注册表、dll等
等等等 还有很多其他的 沙箱自己的策略也很多来对抗免杀的,还是要看具体沙箱吧,不好说。
目前可过的马
havoc目前仍可过,攻防自取。【过火绒、360、电脑管家】动静都过。
https://github.com/HavocFramework/Havoc
【TeamServer端是golang写的,Agent端是C写的,UI :C++基于QT的】
存疑【待解】
杀软是否是对Resource Hacker进行捆绑图标的操作加了特征码?
1:首先要看这个软件捆绑logo操作是否存在固定特征码。
【捆绑logo的软件是否被标记,捆绑logo这一操作会否增加了特定软件固定的特征值 ,这关系到这个软件是否还能再用】
2:进行测试。
