Payload的投递
- 集成veil-evasion生成免杀payload或自定义payload
- 使用Impacket上传二进制payload文件
- 使用passing-the-hash触发执行payload
Payload直接在内存中运行
- 不向硬盘写入payload文件,避免文件型病毒查杀软件
Powershell injector
- 适用于windows7及以上版本系统
Barebones python injector
- 适用于powershell injector失败的情况下使用
Sethc backdoor
- 用cmd.exe替换C:\Windows\System32\sethc.exe
Execute custom command
EXE delivery
/etc/veil/settings.py
另一种免杀思路
- 传统防病毒查杀原理
- 查找文件中特殊字符串,匹配则查杀
- 找到出发AV查杀的精确字符串,并将其修改
- 将执行程序分片成很多小片段
- 将包含MZ头的第一个片段与后续片段依次组合后交给AC查杀
- 重复以上步骤,最终精确定位出
- Evade、hexeditor
shellter
- 代码混淆
- 定制的编码方式
- 多态编码
- 集成部分 msf payload
- 目前只支持32位PE程序
- 使用正常的exe文件作为模板,将payload代码加入模板内
- 模板程序的功能将失效