今天我们将使用完全无法检测的cobaltstrike来pk各大杀毒软件,以测试完全去除特征后的免杀效果。
技术采用:
| 编号 | 技术 | 详细 | 版本 |
|---|---|---|---|
| 1 | 加载器 | 《红队加载器过主流杀软(混淆最终版)》 | 50行代码、OLLVM混淆 |
| 2 | cobaltstrike | 《完全无法检测的CobaltStrike》 | 去全部特征(暂未公开) |
对外提供的 完全无法检测的CobaltStrike 可以轻松绕过火绒,在该版本基础上,我进一步去除了yara特征以绕过卡巴斯基,截至目前,共收集涉及cobaltstrike检测规则文件58个。
存在特征和去除特征对比,payload_x64.bin经过处理后绕过所有yara规则。
PK双方:
杀毒软件:
测试程序:
exupdate.exe 0.65M
测试结果:
测试结果如下:
| 编号 | 杀毒软件 | 测试结果 |
|---|---|---|
| 1 | Avast | 绕过 |
| 2 | 瑞星杀毒 | 绕过 |
| 3 | 2345安全卫士 | 绕过 |
| 4 | 卡巴斯基 | 绕过 |
| 5 | 火绒6 | 绕过 |
| 6 | 360杀毒 | 绕过 |
| 7 | 360安全卫士 | 绕过 |
| 8 | 江民杀毒 | 绕过 |
| 9 | 金山毒霸 | 绕过 |
| 10 | 腾讯电脑管家 | 绕过 |
| 11 | 微软Defender | 绕过 |
| 12 | nod32 | 失败 |
其中nod32报ML/Augur特洛伊木马
江民杀毒报Trojan.PE.AI
但添加伪造的数字签名后绕过。
..\Mangle_1.2_windows_amd64.exe -C C:\Users\rapid\Downloads\Autoruns.exe -I $randomFileName -O $randomFileName
推荐阅读
- 在杀毒软件上横着走
- 攻防的较量,杀毒软件的致命缺陷
- WPS最新0day漏洞?电脑被控仅仅是一个PDF(含视频)
- 无法被拦截的PDF钓鱼
- 高级lnk快捷方式,常规杀毒软件无法拦截
- [bug修复]完全无法检测的CobaltStrike
- 完全无法检测的CobaltStrike
- 堆栈欺骗和内存扫描绕过
- 地狱之门进程注入官方免杀插件
- Beacon 命令和 OPSEC 操作绕过查杀
欢迎点赞分享并留言,同时欢迎关注视频号。
