Kali渗透测试：Metasploit 6.0 中的Evasion模块

Metasploit 开发团队一直致力于免杀技术的研究，并且将一些研究成果应用在了这款产品中。其中Evasion模块可以生成免杀的远程控制被控端。在启动Metasploit时，可以看到Evasion模块，启动命令如下：

┌──(root💀kali)-[~]
└─# msfconsole

8个evasion模块，如下图所示：

使用show evasion命令可以列出Metasploit 6.0中的所有Evasion模块

msf6 > show evasion

如下图所示：

上图中列出的这些模块实际上是对被控端进行免杀处理的方法，生成和使用的方法与其他模块区别不大。现在选择一个可以在Windows操作系统下运行的模块—windows/windows/_defender_exe,使用show options命令查看它的用法。

首先选择这个模块，命令如下：

msf6 > use windows/windows_defender_exe

使用show options命令查看它的用法：

msf6 evasion(windows/windows_defender_exe) > show options

如下图所示，这里需要配置的只有一个FILENAME属性，也就是生成被控端的名字（默认是随机的名字）。

其实我们还需要指定要使用的远程控制模块payload、主控端LHOST和被控端LPORT。完整的设置如下图所示：

使用run命令可以生成这个免杀被控端，但是这个文件所在的msf4目录是不可见的，将其复制到/root/PowerSploit目录下，命令如下：

┌──(root💀kali)-[~/.msf4/local]
└─# cp payload.exe /root/PowerSploit

接下来检测这个被控端的免杀效果，一般情况下只需要检测360杀毒软件是否能够对其进行查杀即可。注意要分别对被控端的未运行和运行两种状态进行查杀，因为杀毒软件大都存在静态分析和行为查杀两种能力。如果要综合评估免杀效果的话，可以使用VirSCAN或者VirusTotal提供的在线检测，这两个网站中集成了大量的常见优秀杀毒软件，这样我们可以一次性获得被控端免杀的全面苹果，下图是Vir SCAN支持的部分杀毒软件：

可以通过入下图所示的浏览框将文件提交上去。

之后VirSCAN机会对其进行扫描，然后会给出一个检测结果，其中包含51个杀毒软件的检测结果，如下图所示：

这个结果显示51个杀毒软件中，只有5个杀毒软件中发现了病毒，具体杀毒软件的反应如下图所示：

需要注意的是，当你在VirSCAN上传了一个文件以后，如果该文件被检测后发现可疑，VirSCAN会将可疑文件和检测结果发送给各个提供引擎的反病毒厂商，供其参考并更新奇反病毒软件。也就是说，即使你今天发现了一个可以躲避所有杀毒软件的方法，可能明天你就会发现它已经失效。另外，虽然刚刚在检测中有些杀毒软件表现不佳，但这有可能由一些其他因素导致，并不能说明在实际应用中这些杀毒软件不会发现恶意文件。如我们以nod32为例，在VirSCAN中检测结果无威胁，如下图红框所示：