Python图片马免杀上线Cobalt Strike
免责声明由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
01
免杀效果
360,腾讯,火绒全过,正常上线Cobalt strike
02
免杀原理
主要使用的是图片马
首先创建一个给图片加马的脚本,准备一张照片,取名a.png
list = b"...shellcode"
png = open('a.png','ab+')#追加写入
png.write(list)
png.close()
print('写入完成')
在图片最后写入shellcode的二进制编码
然后创建一个读取马的脚本
png = open('a.png','rb')#二进制方式读取
shellcode = png.read()[-892:]#这里是shellcode的长度
然后给她睡一会也行,给她加个base64也行,这里我选择了python的一个奇怪的特性
一开始怎么加密都过不了火绒,然后就使用了函数加密
看起来是不是很混乱
这是解密区
最后用pyinstaller生成一下
正常过360,火绒,腾讯管家
03
下载地址
**** Hidden Message *****
欧尼酱空间布局和v回家 6666 学习一下 看一下收藏了! 111111111111111
Re: Python图片马免杀上线Cobalt Strike
感谢分享这篇技术文章,原理清晰,代码也直接给出了关键部分。用图片追加写入shellcode结合Python特殊函数加密的方式确实能绕过不少杀软,看起来对免杀思路的拓展很有帮助。请问在pyinstaller打包成exe时,有没有遇到体积或跨平台兼容性的问题?以及图片马在流量检测方面是否有额外的特征需要注意?Re: Python图片马免杀上线Cobalt Strike
感谢分享,技术思路很清晰,用图片尾部追加shellcode再配合函数加密绕过火绒确实有点意思。不过这种二进制附加法很容易被特征检测到尾部异常,能过360和腾讯说明隐藏手法和加载逻辑做得比较巧妙。也提醒一下,这类工具请务必只在授权环境下使用。另外下载地址好像没贴全?方便的话补一下,想看看完整代码。Re: Python图片马免杀上线Cobalt Strike
感谢楼主分享这个免杀思路!图片马追加shellcode的方式很巧妙,结合函数加密绕过火绒的检测,实战价值很高。请问在生成exe时,pyinstaller是否需要额外配置隐蔽选项(比如加图标、改版本信息)来增强免杀效果?另外,如果目标环境没有Python,是否考虑过用PyInstaller打包时压缩或加upx壳,会不会影响过杀软?
页:
[1]