我一直在使用面纱框架来测试我现有的内部 IDS 系统。我使用了一个公共恶意软件样本,它在 Virustotal 上产生了 8/53 的命中分数,并通过 Hyperion 和 Pescambler veil 有效载荷运行它。
但是,输出样本要么保留初始命中分数,要么增加(在 Hyperion 的情况下)。这是面纱框架的预期行为吗?这是由于动态分析的存在吗?
对于内部安全测试生成具有更高绕过效率的打包和混淆的可执行文件,是否有任何建议?
veil 框架是否应该生成绕过 virustotal 的打包和混淆二进制文件?
信息安全
加密
恶意软件
渗透测试
杀毒软件
混淆
2021-09-05 05:04:33
1个回答
评论者 paj28 是正确的:不要将这些提交给 VirusTotal。针对您在 VM 来宾环境中专门针对的 HIPS 和 AV 系统进行测试。我更喜欢使用 Vagrant 以及 Packer 和 Boxcutter 工具来“模拟”实验室中的东西。
Hyperion 很棒,但不一定要将它与 Pescambler 结合使用。你只需要一个加密器,而不是两个。理想情况下,您需要一个加密器和一个打包器,例如 Hyperion 和 UPX。尝试各种 UPX 格式和选项:加密后可以使用。那将是最有效和最不为人知的。两个密码器或两个加壳器太多并且“超过阈值”。
另一个因素是 Meterpreter(或您正在使用的任何基线植入物)。它不是最好的植入物(有些放弃太多),尤其是在 Win32 上。它从明显是恶意软件的太多 W32 依赖项中调用了太多敏感函数。您需要的是不同的植入物,例如 Cobalt Strike Beacon 或 Silent Break Security Throwback。我最喜欢的大约在 Q42014 和 Q1-2 2015 的脚本是 veil_evasion.cna。它在官方资源中,可能是 PowerSploit 等,但它可以通过其原始作者的这个特定项目加载其他一些 - https://github.com/HarmJ0y/cortana