本文由 简悦 SimpRead 转码, 原文地址 mp.weixin.qq.com
点击蓝字
关注我们
_声明
_
本文作者:Gality
本文字数:700
阅读时长:5 分钟
附件 / 链接:点击查看原文下载
声明:请勿用作违法用途,否则后果自负
本文属于 WgpSec 原创奖励计划,未经许可禁止转载
前言
注:理论来说无论是 cs 还是 msf 生成的 shellcode 都可以进行免杀,不过再处理时是以 cs 为基准对 shellcode 进行处理的,不保证 msf 的 shellcode 也可以免杀后正确执行
关于 CobaltStrike 和 Metasploit 的使用可以参考我们的公开 wiki
【CS】https://wiki.wgpsec.org/knowledge/intranet/Cobalt-Strike.html
【MSF】https://wiki.wgpsec.org/knowledge/tools/metasploit.html
平台仅供安全研究使用,禁止用于非法用途,服务条款见官网
《WgpSec 狼组安全团队服务条款》
生成的程序与 shellcode 都会自动删除,不会留下记录
一、
生成 Shellcode
在 cs 界面中在 packages -> payload generator 中选择 C 格式并勾选 x64 位
将生成的 payload.c 中的 buf 部分复制下来, 也就是引号中的部分, 请注意要复制全, 且不要带多余的东西 (如结尾的引号分号等)
将文本复制进入我们免杀平台 https://plat.wgpsec.org/bypassAV/bypass-av
选择相应的免杀类型和免杀签名, 根据需要勾选是否反沙盒. 这里推荐一种对于不太懂免杀的师傅们的一种选择方式:
分离免杀 + 任意免杀签名 + 不勾选反沙盒
二、
免杀效果
最新版的火绒和 360 均不会报毒(如果在上传类似 mimiktz 这种的软件时请自行免杀后上传,否则会被检测出来,后续平台也会逐步支持)
成功上线
分析引擎分析如下:
(由于我的 CS 服务器被标记了,正常情况下都是显示安全的)
推荐阅读 为你的 C2 隐藏与加速 对 C2 进行隐藏,全程白名单
后记
攻守本就一体两面,随着免杀平台的推出,样本肯定也会被各大厂商拿去分析很快就会失去免杀的效果,但同样,我们也会继续研究更加高级的免杀技术,目前我们的后续计划包括两个部分,一方面是免杀手段的继续深入,对抗厂商的检测,另外一方面是希望能扩大免杀的范围,逐步囊括到后渗透阶段,完成整个渗透的过程的免杀处理,当然,也希望想要一起研究二进制方向的师傅们加入团队,一同学习进步,切磋较量。
简历投至 [email protected]
说明来自公众号与加入想法,并详细描述自己能力
SRC 挖的比较多的师傅没团队的发送简历至
什么?没有邀请码?
**投稿高质量文章审核后会给予邀请码奖励
**
当然你还可以参加我们的活动 我们六岁啦!周年活动
扫描关注公众号回复加群
和师傅们一起讨论研究~
长
按
关
注
WgpSec 狼组安全团队
微信号:wgpsec
Twitter:@wgpsec