Home

Awesome

GobypassAV-shellcode

cobaltstrike免杀,实测过 bypass火绒、360、360核晶、360杀毒、def、金山毒霸等主流杀软

shellcode写在文件里容易被提取特征,beacon远程加载免杀性和持久性会更好,但请求的地址容易被封禁和溯源,在实战中根据实际情况选择,并配合云函数或CDN进行C2地址隐匿

杀软类型免杀绕过技巧
火绒编译参数限制多,对hash和字符串特征进行识别,静态能过动态基本不查杀,对很多go库调用报毒
360单360查杀力不高,装了杀毒后直接儿子变爸爸,查杀力大大提升,对于简单的加密识别度较高,容易上线后云查杀过一会掉线,推荐使用分离加载方式,并使用反沙箱的代码延长马子时间
360核晶开启后对整体查杀性能影响不大,避免使用进程注入的方式加载shellcode,无法执行大部分cmd命令和相关程序(使用bof插件进行替代)
Defender新增许多cobaltstrike规则,推荐使用Stageless,免杀性比Stage好,4.5版本开启sleep_mask参数增强免杀性,对体积大的文件查杀度不高

详细教程请移步博客:https://pizz33.github.io/posts/4ac17cb886a9/

食用方法:

1、生成c的payload

image

2、go run encode.go or python xor64.py 对shellcode进行加密

image

3、加密后的结果填到代码里编译运行 go build decode.go

远程加载把加密后的字符串放到云端,把云端地址填到对应位置生成 (可放到vps上或使用oss云存储等)

(这里大多报错为缺少依赖,运行 go mod init & go mod tidy 拉取即可)

免杀效果:

image

image

image

image

image

image

Star History Chart

项目仅供进行学习研究,切勿用于任何非法未授权的活动,如个人使用违反安全相关法律,后果与本人无关

站在巨人的肩膀上学习,参考借鉴以下师傅的项目,特别感谢

https://learn.microsoft.com/en-us/windows/win32/api/memoryapi/nf-memoryapi-virtualalloc

https://github.com/7BitsTeam/EDR-Bypass-demo

https://www.yuque.com/aufeng/aufeng_good/aq09p0#yNorm

https://mp.weixin.qq.com/s/xiFbSE6goKFqLAlyACi83A

https://github.com/timwhitez/Doge-Loader

https://github.com/TideSec/GoBypassAV

https://www.crisprx.top/archives/515

https://github.com/Ne0nd0g/go-shellcode

https://github.com/piiperxyz/AniYa

https://github.com/safe6Sec/GolangBypassAV