cobaltstrike VS 12款杀毒软件
cobaltstrike VS 12款杀毒软件
白帽子安全笔记
发布于 2025-02-08 14:20:48
发布于 2025-02-08 14:20:48
代码可运行
运行总次数:0
代码可运行
字数 543,阅读大约需 3 分钟
今天我们将使用完全无法检测的cobaltstrike来pk各大杀毒软件,以测试完全去除特征后的免杀效果。
技术采用:
编号 | 技术 | 详细 | 版本 |
|---|---|---|---|
1 | 加载器 | 《红队加载器过主流杀软(混淆最终版)》 | 50行代码、OLLVM混淆 |
2 | cobaltstrike | 《完全无法检测的CobaltStrike》 | 去全部特征(暂未公开) |
对外提供的 完全无法检测的CobaltStrike 可以轻松绕过火绒,在该版本基础上,我进一步去除了yara特征以绕过卡巴斯基,截至目前,共收集涉及cobaltstrike检测规则文件58个。
存在特征和去除特征对比,payload_x64.bin经过处理后绕过所有yara规则。
PK双方:
杀毒软件:
测试程序:
exupdate.exe 0.65M
测试结果:
测试结果如下:
编号 | 杀毒软件 | 测试结果 |
|---|---|---|
1 | Avast | 绕过 |
2 | 瑞星杀毒 | 绕过 |
3 | 2345安全卫士 | 绕过 |
4 | 卡巴斯基 | 绕过 |
5 | 火绒6 | 绕过 |
6 | 360杀毒 | 绕过 |
7 | 360安全卫士 | 绕过 |
8 | 江民杀毒 | 绕过 |
9 | 金山毒霸 | 绕过 |
10 | 腾讯电脑管家 | 绕过 |
11 | 微软Defender | 绕过 |
12 | nod32 | 失败 |
其中nod32报ML/Augur特洛伊木马
江民杀毒报Trojan.PE.AI
但添加伪造的数字签名后绕过。
..\Mangle_1.2_windows_amd64.exe -C C:\Users\rapid\Downloads\Autoruns.exe -I $randomFileName -O $randomFileName
本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2025-02-07,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
目录
腾讯云开发者
