提醒:本文最后更新于 67 天前,其中某些信息可能已经过时,请谨慎使用!
你似乎正在查看一篇很久远的文章。
为了你这样的访客,我特地保留了我的历史博文。不要笑话过去的我,用温柔的目光看下去吧。

首先是木马本身,需要一个足够好的木马,才能更快 更好的做到免杀并持久。

这里就不得不说国内圈子里的一大问题,很多人用着10年前的东西,每个控都是各种换皮,组合,最后出来一个四不像,怎么会好用。

推荐自己写自己的远控,或者至少在底层自己重新实现一个框架,功能上可以借鉴一下现有的写法。语言使用c#或者c++,最好c++。写功能时也要注意不要有太多敏感操作。

木马准备好了,就说说免杀吧

现在的免杀主流手法就是内存加载,然后在内存中解密执行来完成免杀效果。国内最常用的还有白加黑也就是白利用。

内存加载的一大好处是静态好过,可以简单的通过静态的特征码检验。缺点是部分手法在加密时会大幅度提高熵值,不利于后续进行。

而网络加载很好的避开了这一点,如果再将内容隐写在音频图片内,并上传至白名单域名,再加载,还可以有效实现安全下载。加载器和负载分离是非常明智的。

说完了内存加载就是白利用了。这是一个理论上可以通杀的技术,效果好坏全看白文件寿命。白文件的利用,国内已经非常泛滥,寻找白文件的方法也有很多人说过,就不再详说。个人不是很喜欢这个方法,感觉没啥难度,而且可用时间不稳定,哈哈。

到此为止,小马已经可以通过绝大多数免杀,配合适度的反分析来规避云查杀即可。(此处纠正一个误区,很多人要求测试免杀时不能开上传,这是不对的。木马实际使用环境中,不会有人为了你关闭上传的。自己实现反分析才是王道,依靠关闭上传来验证免杀,就是在欺骗自己)

反分析常见的手法包括虚拟机检测,沙箱检测,反debug,反dump,混淆,隐写,web load等

免杀只是木马使用的一小部分,过启动,尤其是对于国内这个流氓360是比较困难的。最简单的办法就是白利用,可以直接注册表添加启动项。其他的方法就五花八门了。

Run keys (individual user)

   HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   HKCU\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run (only on 64-bit systems)
   HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
   HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce (runs the program/command only once, clears it as soon as it is run)
   HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx (runs the program/command only once, clears it as soon as execution completes)
   HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
   HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

Run keys (machine, all users)

   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run (only on 64-bit systems)
   HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce (runs the program/command only once, clears it as soon as it is run)
   HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx (runs the program/command only once, clears it as soon as execution completes)
   HKLM\System\CurrentControlSet\Services
   HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
   HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

Other autostart keys

Active Setup has been designed to execute commands once per user during logon.

   HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
   HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components

Undocumented autostart feature.

   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
   HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

Shell related autostart entries, e.g. items displayed when you right-click on files or folders.

   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects
   HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
   HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
   HKCU\Software\Classes\*\ShellEx\ContextMenuHandlers
   HKLM\Software\Wow6432Node\Classes\*\ShellEx\ContextMenuHandlers
   HKCU\Software\Classes\Drive\ShellEx\ContextMenuHandlers
   HKLM\Software\Wow6432Node\Classes\Drive\ShellEx\ContextMenuHandlers
   HKLM\Software\Classes\*\ShellEx\PropertySheetHandlers
   HKLM\Software\Wow6432Node\Classes\*\ShellEx\PropertySheetHandlers
   HKCU\Software\Classes\Directory\ShellEx\ContextMenuHandlers
   HKLM\Software\Classes\Directory\ShellEx\ContextMenuHandlers
   HKLM\Software\Wow6432Node\Classes\Directory\ShellEx\ContextMenuHandlers
   HKCU\Software\Classes\Directory\Shellex\DragDropHandlers
   HKLM\Software\Classes\Directory\Shellex\DragDropHandlers
   HKLM\Software\Wow6432Node\Classes\Directory\Shellex\DragDropHandlers
   HKLM\Software\Classes\Directory\Shellex\CopyHookHandlers
   HKCU\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers
   HKLM\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers
   HKLM\Software\Wow6432Node\Classes\Directory\Background\ShellEx\ContextMenuHandlers
   HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers
   HKLM\Software\Wow6432Node\Classes\Folder\ShellEx\ContextMenuHandlers
   HKLM\Software\Classes\Folder\ShellEx\DragDropHandlers
   HKLM\Software\Wow6432Node\Classes\Folder\ShellEx\DragDropHandlers
   HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers
   HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers

The following keys specify drivers that get loaded during startup.

   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Font Drivers
   HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers32
   HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32

Misc Startup keys

   HKLM\Software\Classes\Filter
   HKLM\Software\Classes\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance
   HKLM\Software\Wow6432Node\Classes\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance
   HKLM\Software\Classes\CLSID\{7ED96837-96F0-4812-B211-F13C24117ED3}\Instance
   HKLM\Software\Wow6432Node\Classes\CLSID\{7ED96837-96F0-4812-B211-F13C24117ED3}\Instance
   KLM\System\CurrentControlSet\Control\Session Manager\KnownDlls
   HKCU\Control Panel\Desktop\Scrnsave.exe
   HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries
   HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries64

Autostart folder of the current user

   shell:startup
   %appdata%\Microsoft\Windows\Start Menu\Programs\Startup
   C:\Users\USERNAME\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

Autostart folder of all users

   shell:common startup
   %programdata%\Microsoft\Windows\Start Menu\Programs\Startup
   C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp

以上就是所有的常见启动项位置,至于其他的方法,就要自己挖掘啦。

而木马的传播需要一些技术,比较常见的是捆绑和依靠宏或者漏洞传播。

捆绑可以自己简单的通过释放文件至临时目录再启动的操作简单实现,文件后缀名则可以通过Unicode反转字符实现。考虑到某些杀软会提示,可以考虑在中间插入Unicode零宽字符来实现bypass。顺带一提,对于exe文件,可以将exe改为com或者src,对于bat文件,可以改bat为cmd。这种同类型文件后缀不会影响打开,而且有着更隐蔽的效果。

而宏利用也不难,将宏文件放到This Document里就可以躲过大多数杀软。如果确定对方office版本,可以考虑使用office的cve来实现静默打开。

(最近在研究360的核晶,过一阵子再更新思路)

发表评论

共有 0 条看法