前言
在红蓝对抗的过程中,远控木马起到了相当重要的作用,而面对蓝队技术人员的种种查杀,远控木马如何在目标机器上长久的存活下去
免杀马制作
cobalt strike生成shellcode.c
可以根据目标机器安装的杀毒软件制作有针对性的免杀马,当然,能够BypassAV是最好不过的了,为了节约时间成本,选择使用申请动态内存的方式加载shellcode生成免杀木马
文件加壳
这里生成的shellcode为64为的执行代码,使用upx进行加壳
项目地址
https://github.com/upx/upx
文件加壳后属性对比
项目地址
https://github.com/JarlPenguin/BeCyIconGrabberPortable
使用Resource hacker替换木马程序的图标
伪造签名
使用SigThief对木马程序进行数字签名伪造
项目地址
https://github.com/secretsquirrel/SigThief
使用wps的数字签名进行伪造
- -i 自带签名的文件
- -t 未加签名的文件
- -o 输出文件
shellcode2为伪造数字签名后的木马文件
伪造文件修改时间
蓝队技术人员通常会在时间顺序上排查攻击者上传的文件,我们上传的木马文件是最新的,所以使用ChTimeStamp伪造文件修改的时间
项目地址
https://github.com/MsF-NTDLL/ChTimeStamp
360bps.bat为安装360时创建的文件,时间为一月份
修改前后文件属性对比
通过everything筛查文件不会发现近期上传的木马文件
© 版权声明
THE END
暂无评论内容