如何使用Shellter绕过反病毒软件 一

iso60001  608天前

我先假设一下以下虚构的情景:

我是强尼,一个心怀不满的员工。老板利用了我,他不停的给我工作任务,但却不支付我额外的报酬,此外,他从来没有对我的付出表示感谢……有一天,我终于厌倦了这种情况,我心里默默说到:“他会明白他做错了什么事”。我计划侵入他的电脑,窃取他所有的敏感信息。但是如何开始呢?经过深思熟虑后:我决定我要先看看我可以访问的内部漏洞审计的结果,找一下他的电脑是否有一些安全漏洞可以利用。

该死的!他把所有的漏洞都补好了,而且我也没钱买0day。那我现在能做什么?

直到有一天,我的老板问我是否知道有免费的程序可以在Windows操作系统中解压文件…

22.png

当然,我的回答是肯定的,我会通过邮件发给他。就在那时,我开始准备“小礼物”。

当我知道我们电脑中有一个很好的杀毒软件,而且它总是更新,所以我将使用Shellter工具(https://www.shellterproject.com/)将我的shellcode加载到合法的解压缩程序中并且伪装好,这样,当我运行它时,他的电脑就会被我的机器所控制。

Shellter根据官网的定义,是一个动态的shellcode注入工具。动态意味着Shellter能感染我想要感染的文件,并且它还为我提供了不同的选感染文件的方式。

另外,要注入的shellcode可以由我自己生成,也可以通过框架生成。在这个例子中,我将使用me tasploit。

我将打开me tasploit,生成我的有效负载并让它听:

33.png

现在我下载了7-Zip软件(http://www.7-zip.org/)这是一个满足我老板要求的应用程序,然后执行Shellter输入我的shellcode(在前面的图片中突出显示)。

我选择了自动模式,并向程序指明7-Zip程序的路径:

44.png

我激活隐身模式,从payload列表中选择7,然后复制me tasploit生成的代码:

55.png

一旦感染验证完成后,按Enter键结束流程:

66.png

在发送任何这个程序之前,我要确认公司的防病毒软件没有将其检测为威胁。另外,作为个人兴趣,我将它上传到Virustotal (https://www.virustotal.com/es/),以检查有多少反病毒程序将它检测为恶意软件:

77.png

在此之后,一切准备就绪后,我将回复我的老板,让他使用我邮件附加的解压文件的程序。

如果你不想错过接下来会发生什么,那就关注博客吧。

原文链接:https://www.securityartwork.es/2018/11/02/evading-av-with-shellter-i-also-have-sysmon-and-wazuh-i/

最新评论

昵称
邮箱
提交评论

友情链接:FOFA FOEYE BCSEC BAIMAOHUI 安全客 i春秋 指尖安全

nosec.org All Rights Reserved 京ICP备15042518号