免责声明
锦鲤安全的技术文章仅供参考,此文所提供的信息仅供网络安全人员学习和参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。如有侵权烦请告知,我们会立即删除并致歉。本文所提供的工具仅用于学习,禁止用于其他,请在24小时内删除工具文件!谢谢!
前言
XDOG 在线免杀平台终于更新了,重构了加载器生成方式,支持后台上传和修改加载器源码,并根据配置文件生成 WEB UI 和生成步骤;更新了 KDOG 加载器,这个版本的加载器理论上来说很难被针对,虽然没有使用 llvm 编译器但是又有 llvm 编译器的效果。
XDOG 在线免杀平台是专为小密圈内部设计的高级工具,本平台仅供安全研究人员和安全测试使用,禁止用于非法用途。该平台致力于为用户提供免杀生成服务,目前主要支持 C/C++ 语言的 shellcode 免杀一键生成,后续将增加更多在线工具、一键白加黑工具和在线文库免杀等功能。平台的开发初衷是为了帮助小密圈成员在合法授权范围内开展网络安全研究和学习。
目前平台由个人编写,开发程度还比较低,后端使用 PHP 5.1.10 和 ThinkPHP 3.1.4 版本开发,前端使用 Bootstrap5 和原生 js 开发。
一、平台更新二、加载器更新三、生成演示视频四、效果图最后
一、平台更新
之前都是只能通过手动修改源码的方式增加加载器太麻烦了,现在重构了加载器生成方式,支持通过后台对加载器进行管理:
并可以通过 config.yaml 修改 WEB UI 界面显示和生成步骤:
可以说通过配置文件来定义生成器 UI 和生成步骤极大的节省了增加和修改生成器的麻烦,但是生成器的依赖环境还是需要在服务器上配置好。
二、加载器更新
KDOG 加载器,延用了上次更新的加载器名字,由 C++ 编写,使用 VS 编译器编译:
更新了以下内容:
链接多个垃圾 lib
编译时随机垃圾指令
编译时随机函数地址
编译时随机 ico 图标 hash
编译时随机版本信息
轻量反沙箱,仅针对 VT 和微步沙箱
内存防护增强,进一步减少内存泄漏
每次生成都会修改 ico 的每个像素的颜色,在每个像素颜色的基础上进行随机浮动,修改 ico 的掩码,增加随机掩码形状和掩码值,以达到修改 ico hash 的目的:
每次生成都会生成随机的版本信息,特意编了一个工具,通过单词统计和排除不正常的单词来达到生成一些看似正常但其实是随机生成的单词:
两次生成之间的差异程度为 93%,一般未经过特殊处理连续两次编译之间的差异程度为 99.9%,也就是说 VS 编译器多次重复编译的 exe 只有编译时间和 rich header 等少数信息不一致,其它内容均相同:
除去静态链接库,可以说每次生成 exe 差异程度都很大。
三、生成演示视频
下面是平台的生成演示视频,由于链接较多的 lib 库,编译时间较长,一次生成需要大约 2 分钟的时间:
四、效果图
测试 CS 版本为 CS4.9,配置简单 c2profile,shellcode 为 stageless,加载器为本地分离版。
VT:
微步:
360:
360 云鉴定:
火绒:
Windows Defender:
卡巴斯基:
最后
免杀加载器仅是免杀的第一步,流量特征、上线后的行为特征的免杀,还要看使用者如何配置和使用 CS。
XDOG 在线平台目前的完成度还比较低,仅完成了加载器和工具板块,平台会不定时更新,由于所有代码为我一个人编写,更新比较慢,加入内部交流群使用,前 100 名为永久会员(目前为 66),退出后不可重新加入,谨慎加入。另外纷传内不包含任何内容,加入后请主动联系管理员拉入内部交流群。
小密圈
点分享
点收藏
点点赞
点在看
