本帖最后由 22222221 于 2025-9-7 18:01 编辑
都 5202 年了,MSF 框架已经快成为时代的眼泪了 ,既然如此,我们来试试国内外各种软件对这种框架为基础的简单的攻击,防御能力如何?(C 端产品测试)
测试名单:
1. 360 安全卫士极速版 + 核晶(带上 360 杀毒) 2. 火绒安全 6.0 3. 金山毒霸 4. 腾讯电脑管家 5. Kaspersky Free 6. Avast Free 7. Avira Free 8. Windows Defender 9. Sophos Home 10. Dr.Web 11. 趋势科技 12. ESET 13. 瑞星 V17 杀软均为默认设置,评分分为上线与持久化两部分
如果还未上线或者刚上线就被秒杀,则得满分,如果仅防御住持久化,得半分。
评分:前10个样本一个3分,后10个样本一个7分
样本情况:
前十位为简单攻击载荷:
· 样本一:MSF 直接编译 · 样本二:MSF 直接编译后 + UPX 壳 · 样本三:MSF + mpress 壳 · 样本四:MSF 直接编译 + Themida 壳(设置拉满) · 样本五:MSF 直接编译 + VMProtect · 样本六:MSF + Shikata_ga_nai 30 次编译 · 样本七:使用 alpha_upper 编码三次 · 样本八:使用混合编码落地 · 样本九:使用 tcp_rc4 模块生成攻击载荷 · 样本十:MSF 生成 PowerShell 攻击载荷
持久化方式:
· 前三名通过写启动项 · 后三名写注册表 · 最后五位均使用计划任务
样本十一
· 使用evasion/windows/applocker_evasion_install_util攻击
样本十二 ·evasion/windows/applocker_evasion_msbuild攻击
样本十三 ·evasion/windows/applocker_evasion_regasm_regsvcs攻击
样本十四 ·evasion/windows/windows_defender_exe 攻击
样本十五 ·evasion/windows/windows_defender_js_hta攻击
样本十六:
· Shellter
样本十七:
· 先由 MSF 生成 bin 文件,再用 Python 作为加载器,bin 文件经过 xor 加密,在代码中解密加载
样本十八:
· 由 MSF 生成 bin 文件 xor 加密,由 CPP 作为加载器,自定义 CreateProcess 与 VirtualAlloc API,加上 Sleep 函数、检测鼠标移动等反沙箱
样本十九:
· 前面与样本十九相同,但使用 RC4 加密 样本二十: · 白加黑
· 持久化:调用 sc 命令持久化
一 360安全卫士+杀毒(核晶开启) 样本16成功上线,但是持久化防御成功 样本19同样本16 评分:93分
二 火绒安全6.0
后从样本17到最后全部miss 
评分:72分
三 金山毒霸 16成功上线 持久化防御成功 18、19同16 20,这个连持久化都成功了
评分:82.5 四 腾讯电脑管家
从4开始就miss…… 持久化成功
样本5 kill 没截图
样本6 样本10 有stage但是建立不了session 样本12 根本无回连 样本13 miss 持久化miss 从16开始没赢过 评分:55分 四 卡巴斯基(从头杀到尾这一块) 17 有stage无法建立session 18 19,无反应,无法远程下载bin 20 评分:100分 五 Avast
| 
[复制链接]
发表于 
