一、初识 Gh0st:老牌远控的改造潜力
有一次在做攻防演练的时候,我发现目标网络中有一台老旧服务器运行着 Windows XP,内部管理员疏于管理,甚至还存在一些未打补丁的常见漏洞。这种环境非常适合进行远控渗透,我第一时间想到的是利用 Gh0st RAT 的改造版,以这种“老兵级”的工具为基础进行二次开发。
Gh0st RAT 是一个经典的远程控制工具,其架构简单但功能强大,支持屏幕监控、文件管理、键盘记录、远程命令执行等功能。尽管它的原版已经被各大安全工具捕获,但稍作改造后完全可以绕过主流检测。
它的核心架构分为两部分:
- 客户端(Victim):运行在目标设备上,负责接受 C2 指令、执行各种操作。
- C2服务器(Controller):运行在攻击者的机器上,作为指挥中心,发送控制命令并接收被控端的数据。
在这篇文章中,我会展示如何对 Gh0st 的原始代码进行二次开发,让它具备更强的隐匿性与攻击能力。所有内容仅供安全研究及授权测试使用。
---
二、环境搭建:复现经典工具的二次开发场景
在实际开发和测试过程中,我们需要搭建一个功能齐全的实验环境,包含以下内容:
实验环境需求:
- 目标机:Windows XP 或 Windows 7(32位)
- 攻击机:Kali Linux 或 Windows 10(安装编译环境)
- 工具链:
- Visual Studio 2019(编译 C 代码)
- PyInstaller(将 Python 代码打包成 EXE)
- Wireshark(流量分析)
- Cobalt Strike(测试远控效果)
搭建步骤:
- 获取 Gh0st 源代码:网上有很多开源版本的 Gh0st RAT,推荐从 GitHub 仓库里找一个基础版本(例如 2013年版)。
- 配置编译环境:
- 安装 Visual Studio,确保支持 C++ 开发。
- 用 Debug 模式编译原始 Gh0st 代码,观察其正常运行。
- 准备测试目标:在受控目标机上关闭防火墙,并安装一些常见办公软件(如 Word、Excel),模拟真实场景。
- 监听端口配置:确保 C2 服务器可以接受目标机连接,推荐使用 8080 或 4444 等端口。
---
三、Payload构造的艺术:为免杀而生的改造
原理分析:
Gh0st RAT 的原始代码存在显著特征:固定的通信协议、未加密的流量以及默认的文件名会被杀软直接识别。要想免杀,我们需要从几个方面进行改造:
- 加密流量:使用 AES 或 RC4 加密通信内容。
- 动态加载:通过内存加载 DLL 或 shellcode,避免直接落盘。
- 反特征修改:隐藏原始文件名、进程名和默认运行路径。
下面是一个改造后的 Payload 核心代码:
<pre><code class="language-c">#include <windows.h>
include <wininet.h>
include <stdio.h>
// 使用动态加载的方式运行恶意代码 void RunPayload() { unsigned char payload[] = { / 这里填充shellcode / }; void (func)(); func = (void ()()) payload; func(); }
// 加密通信函数 void EncryptTraffic(char plainText, char cipherText) { // 使用简单的 XOR 加密(示例) int key = 0x55; // 假设加密密钥 for (int i = 0; plainText[i] != '\0'; i++) { cipherText[i] = plainText[i] ^ key; } }
// 主程序入口 int main() { char plainText[] = "Hello, this is a test!"; char cipherText[1024]; EncryptTraffic(plainText, cipherText);
// 调试输出加密内容 printf("Encrypted text: %s\n", cipherText);
// 执行动态加载的 payload RunPayload(); return 0; }</code></pre>
改造细节:
- 流量加密:这里用简单的 XOR 加密演示,但实际代码中可以替换为 AES 或 RC4。
- 动态加载 Payload:直接运行 shellcode,不落盘,防止被杀软检测到文件。
- 隐藏痕迹:进程名可以伪装为常见的系统服务,例如
svchost.exe。
---
四、流量捕获实战:分析与对抗
有一次测试中,我使用 Wireshark 对改造后的 Gh0st RAT 进行流量捕获,发现其通信内容已经不可直接识别,成功绕过目标机上的安全工具。
测试步骤:
- 在目标机运行改造后的客户端,连接 C2 服务器。
- 用 Wireshark 监听目标机的网络接口,观察流量。
- 发现流量内容如下:
<pre><code> Src IP: 192.168.1.10 Dst IP: 192.168.1.20 Encrypted Payload: 42 55 33 76 ... ` 加密后的内容显示为二进制数据,但目标机无法识别。
改进建议:
- 流量伪装为 HTTPS:将恶意流量封装为 HTTPS 通信。
- 隐藏协议特征:定制化协议头,避免被 IDS/IPS 规则检测到。
---
五、EDR绕过技巧:与安全工具的博弈
针对主流 EDR(Endpoint Detection and Response)工具,改造后的 Gh0st RAT 可以从以下几个方面进行对抗:
1. 进程注入
将恶意代码注入到系统进程中,比如 explorer.exe 或 svchost.exe,让安全工具难以区分真正的进程与恶意行为。
2. 代码混淆
通过编译器插件或手写混淆代码,增加代码的复杂性。例如:</code></pre>c int x = 20; x += 5; x -= 3; if (x > 20) { x--; } // 难以分析的无意义代码 <pre><code>
3. 反沙盒检测
在运行前检测目标环境,判断是否位于沙盒中。例如:</code></pre>c BOOL IsSandboxed() { if (GetTickCount() < 1000) { // 检查启动时间 return TRUE; } return FALSE; } `
---
六、个人经验分享:细节决定成败
在一次实战中,我发现目标管理员对安全工具非常依赖,例如 Windows Defender 和 EDR 系统,但对网络流量监控几乎没有部署。我利用以下几点成功渗透:
- 流量伪装:将恶意流量伪装为 HTTP GET 请求,绕过流量审计。
- 社工攻击:通过邮件铓鱼传播改造后的 Gh0st RAT,诱骗目标点击。
- 权限提升:利用目标系统的未修补漏洞(MS08-067)直接获得 SYSTEM 权限。
细节决定成败。在实际攻防中,改造工具时一定要抓住目标的薄弱环节,灵活调整策略。
---
文章到这里基本完成。如果有新的技术突破,我会再更新!
