1、小记
1、上线后第一条命令不要执行whoami 可以执行ipconfig等
2、个人杀软鸡肋,企业标配EDR,IPS,IDS,NDR,XDR,一般分为主控和agent
3、wd大于国内其他杀软
4、早期杀软大多数凭借特征库/病毒库对比查杀
5、常用c2(Command & Control Server):Cobalt Strike(最常见)、Metasploit(老牌)、Empire(帝国)、Covenant(C#)、Poshc2(基于命令行,翻文件不友好)、Sliver(golang、规避很好,但命令行模式比较难用,可控linux)、BRC4(多规避手段)、夜莺(nig,不对大陆出口)、havoc(C/Go),cs4.5最适合二开,自写C2很容易免杀。
6、国外常用杀软:猎鹰、S1、卡巴斯基
国内常用杀软:卡巴斯基,eset,nod32,麦咖啡,以及各家edr,和个人版杀软例如腾讯电脑管家,火绒等。
7、把自己写的马子传到VT查杀是很傻的行为
8、不同的编译器静态查杀结果也不一样,不同的参数也是
免杀技术核心
1、主动对抗
做混淆等,持续攻击,钓鱼,在无法本地复现目标杀软环境的情况下,只能fuzz各种操作看怎么才能不杀
2、被动对抗
3、时间成本
小项目无需做太复杂,能用就行
代码量尽量小,upx压缩360落地查杀,golang 1-2m,python3 4-6m ,尽量简单高效,但现在的网络环境对大体积影响不大,所以实在不行也不必强求代码量低
4、静态查杀
文件刚落地就无了或者被检测了就是被静态查杀了
5、动态查杀
可以存在但运行就挂了,就是动态查杀
双击运行和cmd运行的运行链是不一样的,cmd没杀可能是因为主进程是cmd的进程,双击则为木马本身的进程,叫做ppid欺骗
免杀难点
1、特征检测
基于病毒库\特征库比对文件特征去查杀
2、行为检测
比如添加用户,添加计划任务,注册表,驱动等
3、云查杀
把可疑文件上传沙箱再返回结果
4、内存扫描
扫描内存的区域,卡巴斯基和wd都有
5、主动防御
360有,杀软内置检测规则,触发规则即拦截
6、启发式
对特征码补充,解决未知病毒的情况,就是将病毒特征进行总结,得出规则再查杀,涉及到AI引擎和沙箱
7、流量查杀
比如态势感知这种设备对传输流量进行解密识别,检测是否远控传输,比如webshell流量,cs流量
仅登录用户可评论,点击 登录