如果有人使用VENOM工具繞過反病毒檢測,該如何防護?
嚴正宣告:本文僅用於實現安全教育目的,請不要將其用於惡意活動。
前言
如今,很多惡意軟體和Payload都會使用各種加密技術和封裝技術來繞過反病毒軟體的檢測,原因就是AV產品很難去檢測到經過加密或加殼的惡意軟體(Payload)。
今天,我們要學習是如何使用VENOM來生成經過加密的Payload,權當為加固安全保護措施拋磚引玉,未來或許會再出一篇文章來講一講如何堵住這個方法。
概述
根據VENOM的介紹,該指令碼會使用MSF venom(Metasploit)來以不同的格式生成Shellcode/">Shellcode,比如說c | python | ruby | dll | msi |hta-psh等格式,並將生成的Shellcode注入到一個函式之中(比如說Python函式)。
這個Python函式將會在RAM中執行Shellcode,並使用類似gcc、mingw32或Pyinstaller這樣的編譯工具來構建可執行檔案,然後開啟一個多處理器來處理遠端連線(反向Shell貨Meterpreter會話)。
第一步:
由於該工具並不是Kali自帶的工具,所以我們需要在Kali Linux上進行下載和安裝。大家可以點選【 ofollow,noindex" target="_blank">下載連結 】直接從Sourceforge網站下載VENOM。
下載並解壓之後,大家就可以執行VENOM了。
第二步:
啟動工具之後,工具會要求繼續處理後續選項。
第三步:
接下來,工具會給你顯示程式碼構建、目標裝置、Payload格式和資料輸出等選項。
工具提供了20種不同型別的Shellcode構建選項,都列舉在下圖之中了。我們在本文中,選擇使用選項10來進行演示。
輸入10,並按下回車鍵。
第四步:
在這一步驟,我們需要設定本地主機IP地址,輸入本地裝置IP地址來監聽Payload之後,按下OK鍵。
設定好了我們的LHOST之後,工具會要求你設定LPORT,提供你想要設定的LPROT號,按下OK鍵。
第五步:
VENOM自帶了很多預設的msf Payload,我們這裡選擇使用“windows/meterpreter/reverse_tcp”。
第六步:
輸入需要生成的Payload名稱,然後點選OK。
第七步:
生成好加密的Payload之後,工具將會把Payload儲存在VENOM的檔案輸出目錄中:
root/Desktop/shell/output/gbhackers.hta
第八步:
在成功生成加密後的Payload之後,我們可以用反病毒產品來檢測一下:
接下來,我們看看如何使用Metasploit和我們生成的Payload來繞過反病毒產品。
第九步:
我們需要開啟Apache伺服器來將惡意Payload傳送到目標主機中,選擇好伺服器後點擊OK繼續。
第十步:
在這一步中,我們需要連線後滲透模組,這裡我們可以隨意選擇一個。由於我需要訪問的只有系統資訊,所以我選擇sysinfo.rc來進行後滲透操作。
這是一個可選操作,所以你甚至可以手動執行這個模組,然後用Metasploit實現繞過。
第十一步:
最後,我需要用生成的加密Payload在目標主機和我的Windows+7/">Windows 7主機之間建立Meterpreter會話。
在啟動在會話處理器之前,確保你的Payload已經成功注入到目標主機之中了。我這裡使用的URL為 http://192.168.56.103 。
注意:在開始之前,請檢查LPORT和LHOST設定是否正確。
最後,我們成功繞過了目標主機的反病毒產品,並獲得了目標裝置的完整訪問權。
* 參考來源: gbhackers ,FB小編Alpha_h4ck編譯,轉載請註明來自FreeBuf.COM