如果有人使用VENOM工具绕过反病毒检测,该如何防护?

科技动态 2018-11-11 阅读原文

严正声明:本文仅用于实现安全教育目的,请不要将其用于恶意活动。

前言

如今,很多恶意软件和Payload都会使用各种加密技术和封装技术来绕过反病毒软件的检测,原因就是AV产品很难去检测到经过加密或加壳的恶意软件(Payload)。

今天,我们要学习是如何使用VENOM来生成经过加密的Payload,权当为加固安全保护措施抛砖引玉,未来或许会再出一篇文章来讲一讲如何堵住这个方法。

概述

根据VENOM的介绍,该脚本会使用MSF venom(Metasploit)来以不同的格式生成Shellcode,比如说c | python | ruby | dll | msi |hta-psh等格式,并将生成的Shellcode注入到一个函数之中(比如说Python函数)。

这个Python函数将会在RAM中执行Shellcode,并使用类似gcc、mingw32或Pyinstaller这样的编译工具来构建可执行文件,然后开启一个多处理器来处理远程连接(反向Shell货Meterpreter会话)。

第一步:

由于该工具并不是Kali自带的工具,所以我们需要在Kali Linux上进行下载和安装。大家可以点击【 下载链接 】直接从Sourceforge网站下载VENOM。

下载并解压之后,大家就可以运行VENOM了。

第二步:

启动工具之后,工具会要求继续处理后续选项。

第三步:

接下来,工具会给你显示代码构建、目标设备、Payload格式和数据输出等选项。

工具提供了20种不同类型的Shellcode构建选项,都列举在下图之中了。我们在本文中,选择使用选项10来进行演示。

输入10,并按下回车键。

第四步:

在这一步骤,我们需要设置本地主机IP地址,输入本地设备IP地址来监听Payload之后,按下OK键。

设置好了我们的LHOST之后,工具会要求你设置LPORT,提供你想要设置的LPROT号,按下OK键。

第五步:

VENOM自带了很多默认的msf Payload,我们这里选择使用“windows/meterpreter/reverse_tcp”。

第六步:

输入需要生成的Payload名称,然后点击OK。

第七步:

生成好加密的Payload之后,工具将会把Payload存储在VENOM的文件输出目录中:

root/Desktop/shell/output/gbhackers.hta

第八步:

在成功生成加密后的Payload之后,我们可以用反病毒产品来检测一下:

接下来,我们看看如何使用Metasploit和我们生成的Payload来绕过反病毒产品。

第九步:

我们需要开启Apache服务器来将恶意Payload发送到目标主机中,选择好服务器后点击OK继续。

第十步:

在这一步中,我们需要连接后渗透模块,这里我们可以随意选择一个。由于我需要访问的只有系统信息,所以我选择sysinfo.rc来进行后渗透操作。

这是一个可选操作,所以你甚至可以手动执行这个模块,然后用Metasploit实现绕过。

第十一步:

最后,我需要用生成的加密Payload在目标主机和我的Windows 7主机之间建立Meterpreter会话。

在启动在会话处理器之前,确保你的Payload已经成功注入到目标主机之中了。我这里使用的URL为 http://192.168.56.103

注意:在开始之前,请检查LPORT和LHOST设置是否正确。

最后,我们成功绕过了目标主机的反病毒产品,并获得了目标设备的完整访问权。

* 参考来源: gbhackers ,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

FreeBuf

责编内容by:FreeBuf阅读原文】。感谢您的支持!

您可能感兴趣的

Reset Forgotten Windows Password with PCUnlocker Forgetting your Windows administrator password could mean disaster at times. You can neither login to your computer, nei...
(Python, Windows) Call... I'm trying to call a function in one class from another class. Here is my code: import osclass GameRoom():msgL...
消失两天之”系统大战” 消失这两天感觉倍感煎熬,没有时间写博客了,原因是由于自己手贱把系统搞崩了,导致这两天都在搞自己的系统。还有之前的数据都没有了,更是让我伤心难过。不过,作为一个程序员对于重要数据怎么会不做备份,所以我又把之前的数据弄到新系统上,刚弄完数据就赶...
首款在沙箱中运行的全功能杀软工具:Windows Defender... 为强化Windows安全,微软打造了 Windows Defender 沙箱版。 经过安全部门的大量投入,微软开始了将 Windows Defender 移入沙箱的过程。此前,微软内部员工及外部研究人员均发现了攻击者利用 Wi...
苹果的 Windows 转移工具可以把更多资料搬到 Mojave... 过去 Windows 用户想 要转投 Mac 系统,除了会怕操作语言不熟悉,还因为资料不能在新机器中继承下来而却步。随着愈来愈多使用者会在不同系统之间游走,资料移植工具也要变得更强大才行。据 9to5Mac 的报导,苹...