“潜藏的威胁：红队角度下的持久化木马文件攻防实战”-山海云端论坛

前言

在红蓝对抗的过程中，远控木马起到了相当重要的作用，而面对蓝队技术人员的种种查杀，远控木马如何在目标机器上长久的存活下去

免杀马制作

cobalt strike生成shellcode.c

可以根据目标机器安装的杀毒软件制作有针对性的免杀马，当然，能够BypassAV是最好不过的了，为了节约时间成本，选择使用申请动态内存的方式加载shellcode生成免杀木马

文件加壳

这里生成的shellcode为64为的执行代码，使用upx进行加壳

项目地址

https://github.com/upx/upx

文件加壳后属性对比

项目地址
https://github.com/JarlPenguin/BeCyIconGrabberPortable
使用Resource hacker替换木马程序的图标

伪造签名

使用SigThief对木马程序进行数字签名伪造
项目地址
https://github.com/secretsquirrel/SigThief
使用wps的数字签名进行伪造

-i 自带签名的文件
-t 未加签名的文件
-o 输出文件
shellcode2为伪造数字签名后的木马文件

伪造文件修改时间

蓝队技术人员通常会在时间顺序上排查攻击者上传的文件，我们上传的木马文件是最新的，所以使用ChTimeStamp伪造文件修改的时间
项目地址
https://github.com/MsF-NTDLL/ChTimeStamp

360bps.bat为安装360时创建的文件，时间为一月份
修改前后文件属性对比

通过everything筛查文件不会发现近期上传的木马文件

版权声明 1 本网站名称：山海云端-专注于PHP与网络安全
2 本站永久网址：www.shserve.cn
3 本网站的文章部分内容可能来源于网络，仅供大家学习与参考，如有侵权，请联系站长 QQ1790643379进行删除处理。
4 本站一切资源不代表本站立场，并不代表本站赞同其观点和对其真实性负责。
5 本站一律禁止以任何方式发布或转载任何违法的相关信息，访客发现请向站长举报
6 本站资源大多存储在云盘，如发现链接失效，请联系我们我们会第一时间更新。

THE END