如果有人使用VENOM工具繞過反病毒檢測，該如何防護？

摘要： 嚴正宣告：本文僅用於實現安全教育目的，請不要將其用於惡意活動。 前言 如今，很多惡意軟體和Payload都會使用各種加密技術和封裝技術來繞過反病毒軟體的檢測，原因就是AV產品很難去檢測到經過加密或加殼的惡意軟體(Payload)。 今天，我們要學習是如何使用VENOM來生成經過...

嚴正宣告：本文僅用於實現安全教育目的，請不要將其用於惡意活動。

前言

如今，很多惡意軟體和Payload都會使用各種加密技術和封裝技術來繞過反病毒軟體的檢測，原因就是AV產品很難去檢測到經過加密或加殼的惡意軟體(Payload)。

今天，我們要學習是如何使用VENOM來生成經過加密的Payload，權當為加固安全保護措施拋磚引玉，未來或許會再出一篇文章來講一講如何堵住這個方法。

概述

根據VENOM的介紹，該指令碼會使用MSF venom(Metasploit)來以不同的格式生成Shellcode/">Shellcode，比如說c | python | ruby | dll | msi |hta-psh等格式，並將生成的Shellcode注入到一個函式之中（比如說Python函式）。

這個Python函式將會在RAM中執行Shellcode，並使用類似gcc、mingw32或Pyinstaller這樣的編譯工具來構建可執行檔案，然後開啟一個多處理器來處理遠端連線(反向Shell貨Meterpreter會話)。

第一步：

由於該工具並不是Kali自帶的工具，所以我們需要在Kali Linux上進行下載和安裝。大家可以點選【 ofollow,noindex" target="_blank">下載連結 】直接從Sourceforge網站下載VENOM。

下載並解壓之後，大家就可以執行VENOM了。

第二步：

啟動工具之後，工具會要求繼續處理後續選項。

第三步：

接下來，工具會給你顯示程式碼構建、目標裝置、Payload格式和資料輸出等選項。

工具提供了20種不同型別的Shellcode構建選項，都列舉在下圖之中了。我們在本文中，選擇使用選項10來進行演示。

輸入10，並按下回車鍵。

第四步：

在這一步驟，我們需要設定本地主機IP地址，輸入本地裝置IP地址來監聽Payload之後，按下OK鍵。

設定好了我們的LHOST之後，工具會要求你設定LPORT，提供你想要設定的LPROT號，按下OK鍵。

第五步：

VENOM自帶了很多預設的msf Payload，我們這裡選擇使用“windows/meterpreter/reverse_tcp”。

第六步：

輸入需要生成的Payload名稱，然後點選OK。

第七步：

生成好加密的Payload之後，工具將會把Payload儲存在VENOM的檔案輸出目錄中：

root/Desktop/shell/output/gbhackers.hta

第八步：

在成功生成加密後的Payload之後，我們可以用反病毒產品來檢測一下：

接下來，我們看看如何使用Metasploit和我們生成的Payload來繞過反病毒產品。

第九步：

我們需要開啟Apache伺服器來將惡意Payload傳送到目標主機中，選擇好伺服器後點擊OK繼續。

第十步：

在這一步中，我們需要連線後滲透模組，這裡我們可以隨意選擇一個。由於我需要訪問的只有系統資訊，所以我選擇sysinfo.rc來進行後滲透操作。

這是一個可選操作，所以你甚至可以手動執行這個模組，然後用Metasploit實現繞過。

第十一步：

最後，我需要用生成的加密Payload在目標主機和我的Windows+7/">Windows 7主機之間建立Meterpreter會話。

在啟動在會話處理器之前，確保你的Payload已經成功注入到目標主機之中了。我這裡使用的URL為 http://192.168.56.103 。

注意：在開始之前，請檢查LPORT和LHOST設定是否正確。

最後，我們成功繞過了目標主機的反病毒產品，並獲得了目標裝置的完整訪問權。

* 參考來源： gbhackers ，FB小編Alpha_h4ck編譯，轉載請註明來自FreeBuf.COM