乙方安全公司工作主要还是往外卖一些安全产品。比如做数据取证的,入侵检测的,或者往外卖硬件的IDS IPS没有实力的就买别家的产品自己贴牌,深深感受到乙方公司关系取得订单和销售的重要。我之前的公司还是做取数据的比较多。既然要拿数据一套好用的远控是必不可少的。在乙方公司的这段时间特别感谢小鱼 hack970。学到了好多东西,不管是技术上还是精神上。得到了很多鼓励。
如果要取境外的数据的话。远控从结构上要考虑这三点。
1 多协议穿墙。这方面就是Plug X 做的是比较好的,好像再没有看到比较出彩的。也可能是Plug X 卖的也太多了所以广为人知了。
比方说DNS HTTP ICMP TCP UDP多协议封包穿墙。但是实战的时候内网渗透受网关限制的情况比较多。
a网关有发包数量的限制,一旦超越了这个限制,便不再接受数据包的向外传输
b内网相关的隔离,只有.3的机器允许外连出网,但是你的那个是.5的机器。但是多协议穿墙这个在做境外高端客户的时候是无法绕过的。
2 免杀
这里说的免杀就不是A1pass讲的那种用ccl之类的工具去定位特征码然后修改PE特征去躲杀软,而是要从根本上就要解决掉免杀问题。
AVG Avast 小红伞 趋势 麦咖啡 nod32 Norton 卡巴斯基 熊猫卫士 安博士 基本当地地区可能出现的杀毒软件在发出去之前都要过一遍。
大体上来说现在远控为了免杀分两种
a dll+内存加载的形式 (这种形式就好在dll编写起来比较轻松) 然后自己写一个shellcode的内存pe loader直接把dll转成shellcode 然后alloc一块内存eip指过去就好了
转换成shellcode之后的dll文件大体就是这样的布局。
//-----------------------------------------------------
//|---shellcode---|---TShellData---|---dll文件---|
//-----------------------------------------------------
我还是习惯用C来写shellcode,会在shellcode尾部附着一个结构,用来解决全局变量的问题。当然Delphi真心更适合写shellcode。
b 纯shellcode的远控。这段时间抽时间又改了一版出来 shellcode的好处就是可以编码加密,免杀性好,如果没忘记ben29a病毒时代多态BPE32的话,用多态引擎处理下shellcode更是好选择。支持xp_win8.1 (x32 x64) 上图留念一下。
x32 xp-win8.1
x64 win7-win8.1
生成的shellcode可以直接使用多态引擎处理。 在这么浮躁的年代,谁还会去认真的抠机器指令 虚拟机这些出力不叫好的东西呢。
3 启动项