C2远控Shellcode沙盒对抗

已于 2024-03-09 16:01:23 修改
阅读量546 收藏 9
点赞数 9
分类专栏: 学习历程 文章标签: web安全 网络安全 网络
于 2024-02-27 14:57:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_29948489/article/details/136322429
版权
本文介绍了如何使用Shellcode加密技术,如AES、RSA和XOR加密,以及针对虚拟机环境的检测方法,以逃避动态安全软件的查杀,包括通过适配器数量检测判断是否在虚拟环境中并采取相应措施。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Shellcode 自写打乱

汇编佬手搓专用,一般人搞不定。

Shellcode 加密混淆

编辑 vs 设置

每次新项目在编译的时候,需要注意一些配置文件。

项目-》属性

image-20240226133441229

image-20240226133557755

image-20240226133655808

image-20240226133725116

image-20240226133758662

打开项目,点击.sln

image-20240226142305313

项目里面是目前主流的加密方式和常见加载

image-20240226142422918

image-20240226142431838

如果出现#include <stdio>.h不存在问题,在 win sdk 上设置以下。

将所有项目都修改。

aes 加密右键–》属性

rsa 加密右键–》属性

shellcode 加密库右键–》属性

image-20240226144240472

xor 加密

拿到 cs 的 payload 这里用的 x64 的,放入 xor.py 进行加密

image-20240226145312404

将生成好的密文,放入项目中

image-20240226145330452

image-20240226145426122

加载的密钥要一致

image-20240226145647383

其他的两个文件排除,完事编译运行

image-20240226145838938

image-20240226150355467

上线了,这个黑框可以自行调试让其隐藏

image-20240226150854706

仍给火绒,啊?(不是吧)

火绒兄弟到挺不住了

image-20240226152143147

扔给 360,静态过,动态查杀(这里没开核晶,下次一定)

PS:其实上次测还是查杀状态…有的时候可能是因为虚拟机的原因

image-20240226152816288

df 直接无了

image-20240226152610259

df和卡巴都是动态查杀,或者说是内存查杀,这个十分难搞,不过目前还是有一定方法。

黑框框会发现还是执行的 cs 的 shellcode,本质上代码试过了,杀毒点就放在最后,持续运行,检测高危命令或者原生 shellcode 直接干掉就完了。

有没有一种可能它一检测加载,就睡眠,逃过杀毒检测在恢复过来。

xor加密+沙盒对抗

image-20240226190119081

修复,生成

int GetNumAdapters() {
    DWORD dwSize = 0;
    GetAdaptersAddresses(AF_UNSPEC, 0x0010, NULL, NULL, &dwSize);
    PIP_ADAPTER_ADDRESSES pAddresses = new (std::nothrow) IP_ADAPTER_ADDRESSES[dwSize];
    // Change the allocation type from BYTE to IP_ADAPTER_ADDRESSES

    if (!pAddresses) {
        std::cerr << "Failed to allocate memory." << std::endl;
        return -1; // or appropriate error code
    }

    GetAdaptersAddresses(AF_UNSPEC, GAA_FLAG_INCLUDE_PREFIX, NULL, pAddresses, &dwSize);
    // Remove reinterpret_cast, as the memory type is now correct

    int numAdapters = 0;
    PIP_ADAPTER_ADDRESSES pCurrAddresses = pAddresses;
    while (pCurrAddresses) {
        if (pCurrAddresses->OperStatus == IfOperStatusUp) {
            numAdapters++;
        }
        pCurrAddresses = pCurrAddresses->Next;
    }

    delete[] pAddresses;
    return numAdapters;
}

image-20240226173149305

这里bool detect_sandbox() 被检测,360直接报

image-20240226190119081

删除bool detect_sandbox() ,换一个写法

bool detectSandbox() {
    bool isSandbox = false;

    DWORD dwSize = 0;

    // 获取适配器信息,第一次调用获取缓冲区大小
    GetAdaptersAddresses(AF_UNSPEC, 0x0010, NULL, NULL, &dwSize);
    PIP_ADAPTER_ADDRESSES pAddresses = new (std::nothrow) IP_ADAPTER_ADDRESSES[dwSize];

    // 分配内存类型更改为IP_ADAPTER_ADDRESSES
    if (!pAddresses) {
        std::cerr << "内存分配失败。" << std::endl;
        return false;
    }

    // 第二次调用获取适配器信息
    if (GetAdaptersAddresses(AF_UNSPEC, GAA_FLAG_INCLUDE_PREFIX, NULL, pAddresses, &dwSize) == ERROR_SUCCESS) {
        // 不再需要reinterpret_cast,因为内存类型现在正确
        int numAdapters = 0;
        PIP_ADAPTER_ADDRESSES pCurrAddresses = pAddresses;

        // 遍历适配器列表,计算活跃适配器数量
        while (pCurrAddresses) {
            if (pCurrAddresses->OperStatus == IfOperStatusUp) {
                numAdapters++;
            }
            pCurrAddresses = pCurrAddresses->Next;
        }

        delete[] pAddresses;

        std::cout << "网络适配器数量: " << numAdapters << std::endl;

        // 如果网络适配器数量小于 2,可能处于虚拟机环境中
        if (numAdapters < 2) {
            std::cout << "网络适配器数量较少,可能处于虚拟机环境中" << std::endl;
            isSandbox = true;
        }
    }

    return isSandbox;
}

int main(){
    ...
   // 获取网络适配器数量
   if (detectSandbox()) {
       // 如果处于虚拟机环境,立即停止运行
       return 1;
   }
    ...
}

不报了

image-20240226190214714

虚拟机是打不开的,本地加载直接上线。

xor加载方式用的回调函数

免杀对抗-C2篇&PowerShell&C#&对抗AV-EDR&停用AMSI接口&阻断ETW跟踪&调用
qq_45087791的博客
03-13 1160
assembly .我们的工具包被曝光。AMSI-Windowsxx版本后提供的自带的反病毒接口,对于以下操作会进行检查(其中国外杀毒,各种EDR集成接口调用),如果渗透中要用到这些操作功能就会受到检测,所以我们要尝试阻断绕过AMSI,其中检测的函数封装在amsi.dll->AmsiScanBuffer故amsi.dll中AmsiScanBuffer()函数尝试运行时让其直接返回0失效。如今越来越多的防病毒厂商正在接入AMSI防病毒接口,因此在当下,如何去规避AMSI,成为红队渗透测试者不可避免的话题。
如何识别shellcode是否加密,加密的方式 和如何解密
最新发布
zhaoyong631的博客
03-30 588
在分析恶意软件样本时,识别 shellcode 是否加密以及其加密方式是至关重要的步骤。以下是具体的方法、常见的加密技术以及解密的方法,并结合示例进行说明。通常,shellcode 需要在目标进程中执行,因此在解密后会出现可执行的指令。如果 shellcode 经过 AES 加密,通常会在内存中找到密钥或。如果你有特定的恶意软件样本或代码,可以提供,我可以帮你分析解密方法!
"C2"通常指的是“Command and Control”(C&C,指挥与制)的一种形式,它是恶意软件、木马、僵尸网络
08-15
"C2"通常指的是“Command and Control”(C&C,指挥与制)的一种形式,它是恶意软件、木马、僵尸网络网络攻击活动中常见的一个组成部分。C2系统允许攻击者从程位置制被感染的计算机或设备。下面是对C2的一个基本介绍: C2系统概述 定义: C2系统是指攻击者用来管理和制受感染主机的基础设施。 它允许攻击者发送指令、接收数据、执行操作(如下载文件、上传文件、执行命令等)。 组成: C2服务器:这是攻击者用来制受感染主机的中心点。它可以是物理服务器、虚拟服务器或临时租用的服务。 客户端(受感染主机):这些是被恶意软件感染的计算机或设备,它们与C2服务器通信以接收命令和执行任务。 通信协议: C2通信可以使用多种协议,包括但不限于HTTP(S)、DNS、IRC、TCP等。 为了隐蔽性,有时会使用加密和混淆技术来避免检测。 功能: 命令下发:发送指令给受感染主机。 数据收集:从受感染主机收集信息,如系统信息、文件、屏幕截图等。 文件传输:上传或下载文件。 横向移动:在受感染网络内部移动,寻找更多目标。 安全防范: 特征匹配:杀毒软件和安全系统通
【免杀】C2-初识shellcode与Loader
qq_55349490的博客
06-05 1449
ShellCode的本质其实就是一段可以自主运行的代码它没有任何文件结构,它不依赖任何编译环境,无法像exe一样双击运行,因此需要通过制程序流程跳转到shellcode地址加载上去执行shellcode。目的:杀毒和感知平台如何定性分析:OD&xdb&ida提取:010Editor加载:各种Loader方法执行顾名思义,Loader就是加载器的意思,写好的shellcode是需要用加载器(Loader)来运行的。且同一个shellcode可以用不同的Loader来运行。
探索Supershell:一款强大的C2平台
gitblog_00568的博客
08-13 1017
探索Supershell:一款强大的C2平台 项目地址:https://gitcode.com/gh_mirrors/su/Supershell 在网络安全的世界里,制工具是渗透测试和红队行动中的关键武器。今天,我们要介绍的是一款名为Supershell的开源项目,它不仅功能强大,而且易于部署和使用,是安全专业人士的理想选择。 项目介绍 Supershell是一个通过WEB服务访问的C2...
c语言,C&C工具:WebSocket C2
weixin_39714849的博客
05-20 699
这篇文章,我们将学习另一款 C&C 工具 WebSocket C2,也被称为 WSC2。介绍WSC2 主要是一款后渗透测试工具。WSC2 会使用 WebSocket 和一个浏览器进程。它的作用是在目标靶机上运行的客户端和实际充当 C2 服务器的制器之间作为 C2 通信通道。这款工具使用 Python 开发的。本文演示环境·攻击机:kali Linux·靶机:Windows 10安装首...
C2之初探shellcode
qq_29948489的博客
02-20 2017
杀软一般通过一下几点来检测恶意软件和行为:1、静态查杀:最基本的查杀方式,主要通过对文件的特征码进行扫描,匹配已知的病毒特征库。如果发现文件特征码与病毒特征库中的某个病毒特征码相匹配,就判断该文件为病毒;部分杀软会在静态查杀时将程序放入箱中运行几秒的方式以检测程序是否是恶意程序。2、动态(主动)查杀:通过在程序运行时扫描程序内存是否匹配病毒特征的方式主动发现恶意程序。在EDR中还会挂钩敏感的Windows API,在程序调用到被挂钩的API时检查函数参数和调用栈以检测恶意程序。
免杀对抗-C2篇&Golang&Rust&冷门语言&Loader加载器&对抗优势&减少熵值特征
qq_45087791的博客
03-20 1315
cpu:指定架构,如:nim cc -cpu amd64 , nim cc -cpu:arm。–cpu参数有:i386, m68k, alpha, powerpc, powerpc64, powerpc64el, sparc, vm, hppa, ia64, amd64, mips, mipsel, arm, arm64, js, nimvm, avr, msp430, sparc64, mips64, mips64el, riscv64, esp, wasm32。例如:nim c test.nim。
实战shell免杀&C2&工具魔改(免杀日记 - 上篇)
guanjian_ci的博客
06-05 7105
1、上面实验内容并不多,但是工具的使用、环境的安装、代码的排错够新手玩上几天了。2、绕过杀毒软件的本质就是防止被杀毒库匹配,代码、工具指纹等等!3、一个好的免杀,一定具备了多方面的性能:防杀软、绕过流量平台、防箱、防逆向调试后依然能够正常运行上线!4、此文章分上 、 中 、下,未完待续... ...
程线程注入工具,可生成代码 可自定义shellcode注入进程-易语言
06-14
此程序自带将msf的shellcode转换成 易语言 可调用的shellcode 同时还可以将注入的功能生成出自己的程序可调用的代码 双击第三个输入框即可生成shellcode,这里默认的shellcode程线程注入 注入的是当前程序...
编译PISHELLCODE(VC++)加异或免杀~
07-25 358
来自暗组,但原贴有诸多语法错误,以下是修正后的编译法。一,直接编译:#include #pragma comment(linker, "/OPT:NOWIN98")#pragma comment( linker, "/subsystem:\"windows\" /entry:\"
ZSC:OWASP ZSC-Shellcode混淆代码生成器
02-04
OWASP ZSC 此软件的创建是为了挑战抗病毒技术,研究新的加密方法以及保护包含重要数据的敏感开放源文件。 对于任何非法使用,贡献者和OWASP基金会概不负责。 OWASP ZSC是用python编写的开源软件,可让您生成自定义的shellcode并将脚本转换为混淆的脚本。 可以使用python在Windows / Linux / OSX上运行该软件。 OWASP页面: : 文件: : 主页:http: 功能:http: GitHub: : 存档: : 邮件列表: : API: : 有关更多信息,请阅读主目录中的文档文件或访问主页。
python 混淆源码
11-24
python 混淆源码,代码是2.7的 ,可以混淆3.5和2.7的源码,具体有什么问题未知,我只是改了一下输入输出方式,其最源码是在https://github.com/astrand/pyobfuscate 12年前老代码了,仅供参考
【权限维持】黄金白银票据&隐藏账户&C2&RustDesk&GotoHTTP
今天是几号的博客
04-10 1237
第⼀次拿到域管权限之后,需要将krbtgt NTLM hash进⾏保存,当第⼆次再来进⾏域渗透攻击时,我们就可使⽤krbtgt的NTLM hash制作⻩⾦票据,从⽽再次获得域管权限。工具原理:添加用户时在用户名上添加$符号,将该用户的用户组设置为空(单主机环境为空,域环境为administrator组),导致无法删除(在注册表中也可以进行隐藏)2、域的SID值:S-1-5-21-1218902331-2157346161-1782232778。sid:域环境下的SID,除去最后-的部分剩下的内容。
编译PISHELLCODE(VC++)加异或免杀(转载于网络)
lidatou的专栏
10-04 5345
来自暗组,但原贴有诸多语法错误,以下是修正后的编译法。 一,直接编译: #include #pragma comment(linker, "/OPT:NOWIN98") #pragma comment( linker, "/subsystem:\"windows\" /
CVE-2015-1641 Office类型混淆漏洞及shellcode分析
xiaoi123的博客
08-01 594
作者:枕边月亮 原文来自:CVE-2015-1641 Office类型混淆漏洞及shellcode分析   0x1实验环境:Win7_32位,Office2007 0x2工具:Windbg,OD,火绒剑,UltraEdit,oletools;   0x3漏洞简述:word在解析docx文档的displacedByCustomXML属性时未对customXML对象进行验证,可以传入其他标...
免杀之shellcode混淆
qq_63217130的博客
10-25 620
现在的杀软不仅仅会对恶意文件进行一个静态扫描、分析其特征以外,杀软还会将文件丢到虚拟箱中去运行,挂一个hook去跟踪、监调用的api函数并判断其行为,有的杀软甚至是可以扫描内存的(比如卡巴斯基),shellcode在内存中解密后就很容易暴露,这加大了与杀软对抗的难度。所以仅仅是shellcode混淆已经很难再bypass掉各种杀软了,但是这并不意外着shellcode混淆就已失去意义了!!
Shellcode混淆研究
SHELLCODE_8BIT的博客
05-25 285
X86 Shellcode Obfuscation - Part 1
免杀基本知识,shellcode混淆免杀
白帽子凯哥聊黑客
10-17 1302
根据源代码我们看到在执行完call ebp以后,就执行了设置地址的操作,也就是说在shellcode中存在了反弹连接的ip地址,这里我们将生成的exe程序放到debug程序中,根据c的源代码,我们的shellcode是在call eax中,所以首先要搜索call eax步入进去以后就进入到shellcde中的代码,在shellcode中找到call ebp。最常见的就是360,刚刚上传的木马没有报毒,但是几分钟之内就会被检测为病毒程序,就是因为360会使用云查杀技术,这也是360查杀能力强的原因。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值