C2远控篇CC++EXE处理减少熵值加自签名详细信息特征码源码定位

免杀对抗——第一百六十天

C2远控篇&C&C++&EXE处理&减少熵值&加自签名&详细信息&特征码源码定位

C2远控 - EXE处理-减少熵值&自签名&详细信息

• 恶意软件会采取许多策略和技巧来从 AV 引擎的扫描中隐藏恶意软件。像shellcode加密，函数调用混淆之类的东西，像这种技术本质上是在加密和压缩数据，因此提高了数据的不可预测性/无序性，也就是提高了熵。所以我们可以根据熵值捕获文件，熵越大，数据就越有可能被混淆或加密，文件也就越有可能是恶意的，熵是一种简单有效的检测技术，但并不能完全识别所有恶意代码。因此，杀毒软件通常使用熵作为其他技术的补充，以更好地识别潜在的威胁。

• 如何知道文件的熵值呢，我们可以参考这个项目：https://github.com/langsasec/File-Entropy-Calculator

• 如何降低文件的熵值呢，我们可以使用Restorator这个软件：首发 Restorator 2018 v3.90 Build 1793 Full 汉化版 - 吾爱破解 - 52pojie.cn（破解版下载需谨慎）

• 比如我们用CS生成一个原生的木马，然后看一下他的熵值：
  

• 可以看到熵值是5.23，挺高的，然后这个文件我们放在火绒上肯定是杀的，我们尝试通过Restorator工具降低他的熵值，一般都是添加常用软件以及光标：
  

• 然后将生成添加完毕的木马导出来查看他的熵值，发现确实减小了：
  

• 但是仍然不免杀，当然这里只是演示有这种手法，至于效果可能不是那么明显

• 当然，我们也可以加详细信息以及签名，这种方法针对绕过360的杀毒比较好：

  • 详细信息的话可以直接用刚才的工具去添加
  • 签名的话可以使用网上的工具去窃取正规软件的签名：
    1. secretsquirrel/SigThief: Stealing Signatures and Making One Invalid Signature at a Time
    2. thelostworldFree/Sign-Sacker: Sign-Sacker(签名掠夺者)：一款数字签名复制器，可将其他官方exe中数字签名复制到没有签名的exe中。

• 这里我们用第一款工具简单演示一下，输入如下命令：

python .\sigthief.py -i<正版软件名>-t<目标文件名>-o<输出文件名>

• 然后我们就可以看到生成的文件当中有了钉钉的签名：
  

• 虽然这样火绒依旧会杀，因为原生的CS木马特征实在是太明显了，但是还是有这个思路即可

C2远控 - EXE处理-特征码定位&汇编或源码修改

• 杀毒软件最基本的原理就是通过特征码去识别是否是木马，所以我们可以尝试修改这种特征码去绕过杀毒软件

• 但是目前的杀软都是多角度多方面去判定一个文件是否恶意，所以这个方法只是说结合之前的知识可能会有一定的效果

• 我们用上节课的UUID加载木马来做这个实验，简单看看原理，首先生成一个木马用特征码定位工具来看杀毒杀的是哪一部分代码：

• 可以用的特征码定位工具有：

  1. mattkretz/virtest: header-only unit test framework
  2. 类人猿特征码定位工具

• 这里用第一个工具扫描木马的特征码：
  

• 等待他扫描完毕之后，就会给出杀软查杀的特征码部分：
  

• 但是这里并没有什么东西，有的可能会有明显的特征码，比如：
  

• 那就可以直接到源码中修改对应的部分，替换函数或者函数回调来绕过即可，但是这个只能说是绕过一些静态免杀