远控免杀专题(77)

免杀专题文章及工具：https://github.com/TideSec/BypassAntiVirus

免杀专题在线文库：http://wiki.tidesec.com/docs/bypassav

本文涉及的所有代码和资料：https://github.com/TideSec/GoBypassAV/

0x01 基于Go的免杀

Go语言是谷歌2009发布的第二款开源编程语言，Go语言专门针对多处理器系统应用程序的编程进行了优化，使用Go编译的程序可以媲美C或C++代码的速度，而且更加安全、支持并行进程。

基于Go的各种免杀也就是使用不同的windows API为shellcode申请一段内存，然后把指令寄存器指向shellcode的开头，让机器执行这段shellcode。除此之外，再加上一些其他方式，也可以有效的提高免杀效果。

本文就这些常用免杀方式进行总结汇总。

通过对Go免杀的研究，实现了一个在线免杀平台，目前生成x64位的免杀效果尚可，分离免杀可实现VT平台0查杀。后续还会更新更多免杀姿势。

潮影在线免杀平台：http://bypass.tidesec.com/

0x02 使用不同API

在本系列上一篇文章 《76.远控免杀专题(76)-基于Go的各种API免杀测试》 中，已经对常见的 16种API免杀 效果进行了测试，大家可以浏览参考。

https://virustotal.com/

0x03 反沙盒检测

在本系列的第75篇文章 《75.远控免杀专题(75)-基于Go的沙箱检测》 中，对常见的8种沙盒检测方式进行了总结。

https://github.com/TideSec/GoBypassAV/tree/main/SandBox

测试结果为如下。

未使用沙箱检测技术的，VT查杀结果为：10/71

使用了沙箱检测技术的，VT查杀结果为：8/70

这些都属于比较常规、简单且已经公开的方式，所以差别不是很大，沙盒基本都能反反检测了。

0x04 Go编译对免杀的影响

go build

go build -ldflags="-s -w -H=windowsgui"

https://virustotal.com/HelloTide

go build helloworld

-ldflags="-s -w"helloworld

-ldflags="-H=windowsgui"

-racehelloworld

go build -ldflags="-s -w"

0x05 加壳混淆

对程序进行加壳或者混淆也是常用的免杀方式，本系列文章之前也介绍过一些加壳软件，比如upx加壳之类的，这里对比一下对Go程序进行UPX加壳的免杀效果。

go build 

5.1 upx加壳

upx --best 00-HelloTide.exe -o upx-hello.exe

加壳后大小从1.8M降为1.08M，但是VT免杀率降到了13/70。

5.2 shielden加壳

safengine shielden 加壳2.4.0.0

5.3 VMProtect加壳

VMProtect Ultimate 3.4.0

5.4 garble代码混淆

garblehttps://github.com/burrowers/garble

garble.exe build 

额，结果略尴尬。

garble.exe -literals -seed=random build

0x06 对shellcode加密

在免杀中对payload进行先解密，然后运行时再解密，从而逃避杀软的静态检测算是比较常见而有效的一种方式，我这里搜集整理了9种常见的Golang的加解密方法。

6.1 异或xor加密

潮影在线免杀平台：http://bypass.tidesec.com/

https://github.com/TideSec/GoBypassAV/tree/main/Encryption/XOR_code

6.2 Base64编码

GO内置了base64的包，可直接调用，也可对shellcode进行多轮的base64编码。

package main
import (
 "encoding/base64"
 "fmt"
)
func main(){
 var str = "tidesec"
 strbytes := []byte(str)
 encoded := base64.StdEncoding.EncodeToString(strbytes)
 fmt.Println(encoded)
 decoded, _ := base64.StdEncoding.DecodeString(encoded)
 decodestr := string(decoded)
 fmt.Println(decodestr)
}

6.3 AES加密

高级加密标准（Advanced Encryption Standard，缩写：AES），是美国联邦政府采用的一种区块加密标准。现在，高级加密标准已然成为对称密钥加密中最流行的算法之一。

AES实现的方式有5种:

• 1.电码本模式（Electronic Codebook Book (ECB)）
• 2.密码分组链接模式（Cipher Block Chaining (CBC)）
• 3.计算器模式（Counter (CTR)）
• 4.密码反馈模式（Cipher FeedBack (CFB)）
• 5.输出反馈模式（Output FeedBack (OFB)）

我这是采用的是电码本模式Electronic Codebook Book (ECB)。

56FC7D7F-5FF8-4E2D-AAE1-B7ACE0FDA7F4.png)

https://github.com/TideSec/GoBypassAV/tree/main/Encryption/AES_code

http://liuqh.icu/2021/06/19/go/package/16-aes/

6.4 RC4加密

6.5 B85加密

https://github.com/darkwyrm/b85

6.6 八卦加密

https://github.com/Arks7/Go_Bypass

6.7 三重DES、RSA加密

偶然发现了一个专门的GO的加解密项目，很全面。

https://github.com/wumansgy/goEncrypt

go语言封装的各种对称加密和非对称加密，可以直接使用，包括3重DES，AES的CBC和CTR模式，还有RSA非对称加密。

https://github.com/TideSec/GoBypassAV/tree/main/Encryption/goEncrypt

6.8 ShellcodeUtils

https://github.com/TideSec/GoBypassAV/tree/main/Encryption/ShellcodeUtils

0x07 资源修改

资源修改主要是修改图标、增加签名之类的。

 https://github.com/TideSec/GoBypassAV/tree/main/SignThief

其他资源修改之前的文章也都有介绍《68.远控免杀专题(68)-Mimikatz免杀实践(上)》。

该案例是对mimikatz可执行程序的免杀测试，我这直接摘过来了。

这里先介绍一种比较常见的pe免杀方法，就是替换资源+加壳+签名，有能力的还可以pe修改，而且mimikatz是开源的，针对源码进行免杀处理效果会更好，这里不多做讨论。

https://pan.baidu.com/s/1VXaZgZ1YlVQW9P3B_ciChg

https://raw.githubusercontent.com/TideSec/BypassAntiVirus/master/tools/mimikatz/sigthief.py

https://github.com/TideSec/BypassAntiVirus/blob/master/tools/mimikatz/ResHacker.zip

先替换资源，使用ResHacker打开mimikatz.exe，然后在图标里替换为360图标，version里面文字自己随意更改。

安装vmp加壳软件后，使用vmp进行加壳

sigthief.pyhttps://github.com/secretsquirrel/SigThief

然后看看能不能运行，360和火绒都没问题。

mimikatz32_360.exe

0x08 架构的影响

编译生成的程序如果x86或x64架构不同，那么对免杀的影响也很大，整理来说x64程序免杀更好一些。

08-EarlyBird

编译x86架构的程序，VT免杀为21/70，差的还是比较大的。

0x09 隐藏窗口

-H=windowsgui

我这提供两种隐藏窗口的代码。

https://github.com/TideSec/GoBypassAV/tree/main/HideWindow

package main

import "github.com/gonutz/ide/w32"

func ShowConsoleAsync(commandShow uintptr) {
 console := w32.GetConsoleWindow()
 if console != 0 {
  _, consoleProcID := w32.GetWindowThreadProcessId(console)
  if w32.GetCurrentProcessId() == consoleProcID {
   w32.ShowWindowAsync(console, commandShow)
  }
 }
}

func main() {
 ShowConsoleAsync(w32.SW_HIDE)
}

另外一种，相比第一种，生成的文件略大一点。

package main

import "github.com/lxn/win"

func main(){
 win.ShowWindow(win.GetConsoleWindow(), win.SW_HIDE)
}

0x10 小结

综上，做Go的免杀时，要注意下面几点。

1. API的选择比较关键。

2. 选择合适的加密方式来处理shellcode 

3. 尽量生成x64的shellcode，生成x64位程序 

go build -ldflags="-s -w"garble

5. 加壳的话可以使用upx，其他如果有更好的也可以使用

6. 修改资源、加签名有一定效果

7. 好的反沙盒技术还是很有效的 

-H=windowsgui

 9. 使用分配虚假内存等方式可绕过部分杀软

10. 采用正常功能进行混淆，可增强免杀效果，但文件可能变大很多

0x11 Go免杀实践

通过对Go免杀的研究，实现了一个在线免杀平，主要用于杀软技术研究和样本分析。同时也方便有免杀需求，但没时间和精力去研究免杀的小伙伴。

潮影在线免杀平台：http://bypass.tidesec.com/

平台上使用了基于Go的7种API，并结合使用了上面的shellcode加密、沙盒检测、行为混淆、随机函数等方式后，可实现VT平台查杀率3/70。而在使用了shellcode分离后，目前可实现VT平台0查杀。

选择“URL加载”-“是”，生成的TideAv_Go_XXXX_img.exe可以做到VT全免杀，支持本地文件加载和网络加载，图片内置隐写的shellcode。

之前一个helloword程序在VT上就有六七个查杀，以为Go无法做到0查杀。。

另外，目前还添加了两种基于Python的免杀方式，一种是基于RSA加密，一种是基于pickle反序列化。使用pyinstaller打包，经过一些bypass处理，目前也可以接近VT平台0查杀。具体Python免杀的实现后续文章会介绍。

0x11 参考资料

本文内容参考节选自以下资料：

https://github.com/Ne0nd0g/go-shellcode

https://github.com/safe6Sec/GolangBypassAV

https://github.com/afwu/GoBypass

https://github.com/piiperxyz/AniYa

https://github.com/wumansgy/goEncrypt