免杀专题文章及工具:https://github.com/TideSec/BypassAntiVirus
免杀专题在线文库:http://wiki.tidesec.com/docs/bypassav
本文涉及的所有代码和资料:https://github.com/TideSec/GoBypassAV/
Go语言是谷歌2009发布的第二款开源编程语言,Go语言专门针对多处理器系统应用程序的编程进行了优化,使用Go编译的程序可以媲美C或C++代码的速度,而且更加安全、支持并行进程。
基于Go的各种免杀也就是使用不同的windows API为shellcode申请一段内存,然后把指令寄存器指向shellcode的开头,让机器执行这段shellcode。除此之外,再加上一些其他方式,也可以有效的提高免杀效果。
本文就这些常用免杀方式进行总结汇总。
通过对Go免杀的研究,实现了一个在线免杀平台,目前生成x64位的免杀效果尚可,分离免杀可实现VT平台0查杀。后续还会更新更多免杀姿势。
潮影在线免杀平台:http://bypass.tidesec.com/
在本系列上一篇文章 《76.远控免杀专题(76)-基于Go的各种API免杀测试》 中,已经对常见的 16种API免杀 效果进行了测试,大家可以浏览参考。
测试使用的平台为VT平台:https://virustotal.com/
在本系列的第75篇文章 《75.远控免杀专题(75)-基于Go的沙箱检测》 中,对常见的8种沙盒检测方式进行了总结。
具体沙盒检测代码在这里:https://github.com/TideSec/GoBypassAV/tree/main/SandBox
测试结果为如下。
未使用沙箱检测技术的,VT查杀结果为:10/71
使用了沙箱检测技术的,VT查杀结果为:8/70
这些都属于比较常规、简单且已经公开的方式,所以差别不是很大,沙盒基本都能反反检测了。
在使用Go进行免杀的时候,go build
的编译选项也对免杀效果有较大影响。
在编译时,常用的编译命令为go build -ldflags="-s -w -H=windowsgui"
测试使用的平台为VT平台:https://virustotal.com/
,使用的是专题76中的HelloTide
代码。
go build
,VT免杀率7/70,免杀效果最好的,但文件相对比较大,一个helloworld
都能1.8M。-ldflags="-s -w"
参数:VT免杀率7/70,主要是减小文件大小,helloworld
能缩减到1.2M,没有增强免杀效果。-ldflags="-H=windowsgui"
参数:VT免杀率13/70,主要是隐藏窗口,但会降低免杀效果,VT查杀增加4。-race
参数:VT免杀率20/70,在2021年的时候这个参数效果很好,但现在已经不能用了,正常的helloworld
加上这个参数后VT平台直接16个报病毒。所以比较推荐的编译命令为go build -ldflags="-s -w"
,但是这样就会有黑窗口,后面会说如何解决黑窗口的隐藏问题。
对程序进行加壳或者混淆也是常用的免杀方式,本系列文章之前也介绍过一些加壳软件,比如upx加壳之类的,这里对比一下对Go程序进行UPX加壳的免杀效果。
还是使用上面go build
,VT免杀率7/70的程序进行加壳对比。
使用最优加壳upx --best 00-HelloTide.exe -o upx-hello.exe
加壳后大小从1.8M降为1.08M,但是VT免杀率降到了13/70。
使用safengine shielden 加壳2.4.0.0
软件进行加壳,加壳后文件居然变大到了2.5M,VT免杀率居然降到了33/70,可以直接放弃这个了。
使用VMProtect Ultimate 3.4.0
进行加壳,加壳后文件居然6.3M,VT免杀率居然降到了19/70。文件那么大,免杀效果也一般,也可以放弃了。
使用garble
可对Go程序进行编译混淆,起到一定的免杀作用。项目地址:https://github.com/burrowers/garble
在项目中直接使用garble.exe build
,即可编译,编译文件变小为1.2M。
额,结果略尴尬。
使用两个参数garble.exe -literals -seed=random build
,再次测试,还是略尴尬。
在免杀中对payload进行先解密,然后运行时再解密,从而逃避杀软的静态检测算是比较常见而有效的一种方式,我这里搜集整理了9种常见的Golang的加解密方法。
这个比较简单,设置个自己的密钥就可以,在潮影在线免杀平台:http://bypass.tidesec.com/
中也使用了异或加密。
详细代码在这里:https://github.com/TideSec/GoBypassAV/tree/main/Encryption/XOR_code
GO内置了base64的包,可直接调用,也可对shellcode进行多轮的base64编码。
package main
import (
"encoding/base64"
"fmt"
)
func main(){
var str = "tidesec"
strbytes := []byte(str)
encoded := base64.StdEncoding.EncodeToString(strbytes)
fmt.Println(encoded)
decoded, _ := base64.StdEncoding.DecodeString(encoded)
decodestr := string(decoded)
fmt.Println(decodestr)
}
高级加密标准(Advanced Encryption Standard,缩写:AES),是美国联邦政府采用的一种区块加密标准。现在,高级加密标准已然成为对称密钥加密中最流行的算法之一。
AES实现的方式有5种:
我这是采用的是电码本模式Electronic Codebook Book (ECB)。
56FC7D7F-5FF8-4E2D-AAE1-B7ACE0FDA7F4.png)
代码在这里:https://github.com/TideSec/GoBypassAV/tree/main/Encryption/AES_code
代码参考http://liuqh.icu/2021/06/19/go/package/16-aes/
参考代码:https://github.com/darkwyrm/b85
代码参考:https://github.com/Arks7/Go_Bypass
偶然发现了一个专门的GO的加解密项目,很全面。
项目地址:https://github.com/wumansgy/goEncrypt
go语言封装的各种对称加密和非对称加密,可以直接使用,包括3重DES,AES的CBC和CTR模式,还有RSA非对称加密。
我把源码打包放在了这里https://github.com/TideSec/GoBypassAV/tree/main/Encryption/goEncrypt
一个专门针对shellcode进行加解密的脚本,可以实现XOR、AES256、RC4的加解密。https://github.com/TideSec/GoBypassAV/tree/main/Encryption/ShellcodeUtils
资源修改主要是修改图标、增加签名之类的。
从网上找到了一个Go语言的伪造签名的代码,Go版和Python版的代码在这里 https://github.com/TideSec/GoBypassAV/tree/main/SignThief
。
其他资源修改之前的文章也都有介绍《68.远控免杀专题(68)-Mimikatz免杀实践(上)》。
该案例是对mimikatz可执行程序的免杀测试,我这直接摘过来了。
这里先介绍一种比较常见的pe免杀方法,就是替换资源+加壳+签名,有能力的还可以pe修改,而且mimikatz是开源的,针对源码进行免杀处理效果会更好,这里不多做讨论。
需要几个软件,VMProtect Ultimate 3.4.0加壳软件,下载链接: https://pan.baidu.com/s/1VXaZgZ1YlVQW9P3B_ciChg
提取码: emnq
签名软件https://raw.githubusercontent.com/TideSec/BypassAntiVirus/master/tools/mimikatz/sigthief.py
资源替换软件ResHacker:https://github.com/TideSec/BypassAntiVirus/blob/master/tools/mimikatz/ResHacker.zip
先替换资源,使用ResHacker打开mimikatz.exe,然后在图标里替换为360图标,version里面文字自己随意更改。
安装vmp加壳软件后,使用vmp进行加壳
使用sigthief.py
对上一步生成的exe文件进行签名。sigthief的详细用法可以参考https://github.com/secretsquirrel/SigThief
。
然后看看能不能运行,360和火绒都没问题。
VT平台上mimikatz32_360.exe
文件查杀率9/70,缺点就是vmp加壳后会变得比较大。
编译生成的程序如果x86或x64架构不同,那么对免杀的影响也很大,整理来说x64程序免杀更好一些。
我以专题76中提到的08-EarlyBird
为例进行测试,正常x64免杀为7/70。
编译x86架构的程序,VT免杀为21/70,差的还是比较大的。
常规的隐藏窗口一般都是使用-H=windowsgui
参数,但这样会增大杀软查杀的概率。
我这提供两种隐藏窗口的代码。
完整代码在这里https://github.com/TideSec/GoBypassAV/tree/main/HideWindow
package mainimport "github.com/gonutz/ide/w32"
func ShowConsoleAsync(commandShow uintptr) {
console := w32.GetConsoleWindow()
if console != 0 {
_, consoleProcID := w32.GetWindowThreadProcessId(console)
if w32.GetCurrentProcessId() == consoleProcID {
w32.ShowWindowAsync(console, commandShow)
}
}
}
func main() {
ShowConsoleAsync(w32.SW_HIDE)
}
另外一种,相比第一种,生成的文件略大一点。
package mainimport "github.com/lxn/win"
func main(){
win.ShowWindow(win.GetConsoleWindow(), win.SW_HIDE)
}
综上,做Go的免杀时,要注意下面几点。
1. API的选择比较关键。
2. 选择合适的加密方式来处理shellcode
3. 尽量生成x64的shellcode,生成x64位程序
4. 编译时建议使用go build -ldflags="-s -w"
,也可以使用garble
5. 加壳的话可以使用upx,其他如果有更好的也可以使用
6. 修改资源、加签名有一定效果
7. 好的反沙盒技术还是很有效的
8. 隐藏窗口不要使用-H=windowsgui
参数
9. 使用分配虚假内存等方式可绕过部分杀软
10. 采用正常功能进行混淆,可增强免杀效果,但文件可能变大很多
通过对Go免杀的研究,实现了一个在线免杀平,主要用于杀软技术研究和样本分析。同时也方便有免杀需求,但没时间和精力去研究免杀的小伙伴。
潮影在线免杀平台:http://bypass.tidesec.com/
平台上使用了基于Go的7种API,并结合使用了上面的shellcode加密、沙盒检测、行为混淆、随机函数等方式后,可实现VT平台查杀率3/70。而在使用了shellcode分离后,目前可实现VT平台0查杀。
选择“URL加载”-“是”,生成的TideAv_Go_XXXX_img.exe可以做到VT全免杀,支持本地文件加载和网络加载,图片内置隐写的shellcode。
之前一个helloword程序在VT上就有六七个查杀,以为Go无法做到0查杀。。
另外,目前还添加了两种基于Python的免杀方式,一种是基于RSA加密,一种是基于pickle反序列化。使用pyinstaller打包,经过一些bypass处理,目前也可以接近VT平台0查杀。具体Python免杀的实现后续文章会介绍。
本文内容参考节选自以下资料:
go-shellcode项目:https://github.com/Ne0nd0g/go-shellcode
safe6Sec大佬:https://github.com/safe6Sec/GolangBypassAV
GoBypass:https://github.com/afwu/GoBypass
AniYa免杀:https://github.com/piiperxyz/AniYa
Go加解密:https://github.com/wumansgy/goEncrypt