01 插件安装
本篇免杀为Cobalt Strike安装插件后bypass 国内杀软。
插件下载地址:
https://github.com/fengziHK/bypass_go
1.1 Cobalt Strike导入插件
如下图直接导入:
你会发现攻击那里多出一个bypass的模块
02 免杀火绒
Cobalt Strike生成一个64位的payload
生成的shellcode文件
打开你刚才生成是shellcode 文件 你会发现出现以下内容
在你下载的Bypass_Go-main目录执行cmd操作命令
2.2 生成code.txt
process_shellcode.exe + shellcode.txt里的payload
完成上面的步骤之后接着 生成(k1 k2).txt
将你生成的3个txt放到kali当中,并用python搭建一个微服务
修改shellcode_loader.go的配置信息,变成远程加载shellcode
cmd 里面运行以下命令进行编译(需要有go的环境变量否则报错)
go build -ldflags "-H windowsgui" shellcode_loader.go
编译完成后会生成一个exe文件 (火绒之前是报毒的,但是升级病毒库之后又不报了)
火绒下上线(这里只是在火绒的主机上线 静态和动态都过了)
03 加壳免杀360
以上方法生成的exe文件,360直接报毒
那么如何过360呢?
这里采用了加壳的方式过360和火绒!
一开始我的思路是编码混淆,发现不行之后使用加壳,upx确实可以过火绒,但是过不了360,按照往常的经验来分析:upx应该是被360拉黑了。
这里也试过掩日+upx,但是火绒会直接查杀。
于是我想到了另外一个加壳软件safe
用法很简单将你的exe 拖入之后就可以了 (这里选择默认加壳模式就行了,当然如果懂汇编的师傅可以尝试一下其它的选项)
加壳后查杀,360不杀,到此位置该方法可过360+火绒,但目前无法过红伞和卡巴(已测试)
动态执行可上线
04 总结
通过go编译后加壳可过国内主流杀软,但是缺点也很明显:bypass之后的文件有点大 。
在加壳的时候,最先测试的是掩日,后来是upx,但是这些都被360或是火绒查杀,最后测试到了safe的时候,发现免杀成功。
免杀上线之后,配合梼杌进行提权,效果也是不错的。
