Kali滲透-MSF木馬免殺技術

前言

免殺技術全稱為反殺毒技術 Anti-Virus 簡稱“免殺”，它指的是一種能使病毒木馬免于被殺毒軟件查殺的技術。由于免殺技術的涉獵面非常廣，其中包含反匯編、逆向工程、系統漏洞等技術，內容基本上都是修改病毒、木馬的內容改變特征碼，從而躲避了殺毒軟件的查殺。

裸奔木馬

1、在 Kali 中直接使用 Msfvenom 生成木馬文件，不做任何免殺處理，如下圖所示：

2、在 Kali 開啟 Apache 服務，同一局域網內的 Win 10 物理主機訪問木馬文件，嘗試下載：

3、結果 Win 10 物理主機的火絨安全軟件自動識別木馬，并自動將其移除至病毒隔離區：

4、手動從病毒隔離區移出木馬QQ.exe，上傳至騰訊哈勃分析系統進行在線病毒識別分析，結果只是“輕度風險”(Emmm……我只能說騰訊你跟病毒是親家么)如下：

5、此時再用火絨安全對木馬文件進行殺毒掃描，來看看其掃描分析結果：

顯然，單純依靠單獨一個病毒引擎對風險文件進行識別不太可靠，下面介紹一款在線的多引擎病毒識別工具。

在線殺毒

VirusTotal，是一個提供免費的可疑文件分析服務的網站。2004年6月由創始人Hispasec Sistemas創立。它與傳統殺毒軟件的不同之處是它通過多種反病毒引擎(包含360、騰訊、微軟、賽門鐵克等)掃描文件，使用多種反病毒引擎對您所上傳的文件進行檢測, 以判斷文件是否被病毒, 蠕蟲, 木馬, 以及各類惡意軟件感染。這樣大大減少了殺毒軟件誤殺或未檢出病毒的幾率，其檢測率優于使用單一產品。

1、VirusTotal 的掃描頁面如下所示：

2、來看看 VirusTotal 對以上未經免殺處理的木馬的掃描結果，多個病毒引擎一致將其識別為病毒文件，高達56/70的病毒引擎識別比例：

3、同時還可以進一步查看該病毒文件的行為分析結果：

VirusTotal的反病毒引擎已經多達40種以上，但是也不能保證該網站掃描通過的文件就徹底無害，畢竟道高一尺，魔高一丈。事實上，沒有任何一款軟件可以提供100%的病毒和惡意軟件檢測率，殺毒軟件所做的就是最大限度的避免用戶受到侵害。該網站支持電子郵件或直接上傳的兩種方式分析文件。此外，VirusTotal每15分鐘更新一次病毒資料庫，可以實時提供最新的反病毒引擎以檢測出大部分可能的威脅。

MSF編碼

    在 Meatsploit 框架下免殺的方式之一就是使用MSF編碼器。其功能是對攻擊載荷文件進行重新的排列編碼，改變可執行文件中的代碼形狀，避免被殺軟認出。MSF 編碼器可以將原可執行程序重新編碼，生成一個新的二進制文件，這個文件運行以后，MSF 編碼器會將原始程序解碼到內存中并執行。

1、在kali終端輸入msfvenom -l encoders列出所有可用編碼格式：

2、在 Kali 中下載 Notepad 軟件的安裝包，用于后面將木馬程序捆綁到該程序上面，以便于木馬的感染和傳播：

【注意】Meatsploit 自帶了用于捆綁木馬的程序模板，其位置在data/templates/template.exe，雖然這個模板經常會更新，但是其仍是各大反病毒木馬廠商的關注重點。為了更好地實現免殺，此處自主選擇一個待捆綁程序。

3、使用以下命令生成 Windows環境下的木馬、并捆綁到npp.7.8.5.installer.exe文件上，同時對木馬文件進行x86/shikata_ga_nai編碼方式的免殺處理：

解釋下其中的部分參數的含義：

參數備注

-e指定編碼方式對攻擊載荷進行重新編碼

-x指定木馬捆綁在哪個可執行程序模版上

-i指定對目標進行編碼的次數，多次編碼理論上來講有助于免殺

-f指定MSF編碼器輸出的程序的格式

-o指定處理完畢后的文件輸出路徑

4、將木馬文件傳輸給 Win 7虛擬機：

5、在 Kali 攻擊機運行 MSF 進入木馬監聽狀態，然后運行 Win 7中的木馬文件(原安裝程序已損壞，無法正常安裝)，即可成功獲得 Shell ，如下圖所示：

6、此時在線對該木馬文件進行查殺，VirusTotal 的檢測結果如下：

42/71的病毒引擎識別比例，比原生的裸奔木馬56/70的識別比例要低一些，其中可以看到 騰訊、賽門鐵克、百度等知名殺毒引擎也未將其識別：

UPX加殼

upx 打包器的原理非常簡單，就是將可執行文件中的代碼和數據進行壓縮，然后將解壓縮用的代碼附加在前面，運行的時候先將原本的可執行數據解壓出來，然后再運行解壓縮后的數據。打包器的本質目的是反調試，防止逆向工程，而這里使用打包器的目的是為了改變后門程序的特征碼。

1、Kali 內置了 upx 工具，執行 upx 命令可查看簡略的參數介紹：

2、執行以下命令，對剛才生成的木馬文件進行加殼處理：

3、將加殼后的木馬傳輸給 Win 7主機后執行，Kali可進行正常的連接和監聽：

4、使用 VirusTotal 對當前木馬文件進行病毒檢測，結果如下：

33/72的病毒引擎識別比例，比單純經過 MSF 編碼處理的的木馬文件41/71的識別比例低。

其他免殺

在Github上還有幾個常見的用于木馬免殺的工具，如：Shellter、Veil、Avet、Venom等，經實踐目前免殺效果一般，還不如上面33/72的免殺效果，大概是其免殺技術已被安全廠商盯上并已做出對應檢測技術，故此處不做介紹了。如有興趣可參考某大佬一篇博文：【免殺測試】Kali之Metasploit幾款工具免殺練習。

總結

道高一尺，魔高一丈。殺毒軟件的更新是非常快的，這里給出的方法和過程在今天還是可行的。但過了幾個月之后，免殺技術就有可能出現重大的變化和更新。免殺技術需要不斷地磨練與實踐，才能在實戰中提高成功率。