记一次PowerShell免杀实战

快来打我* 2022-12-31 14:23 287阅读 0赞

最近在玩免杀，发现了一些免杀思路，今天来给大家做个分享，希望可以帮到大家。

### 0x01 powershell 加载 shellcode 介绍 ###

UNIX 系统一直有着功能强大的壳程序(shell),Windows PowerShell的诞生就是要提供功能相当于UNIX系统的命令行壳程序(例如: sh、bash或csh),同时也内置脚本语言以及辅助脚本程序的工具，使命令行用户和脚本编写者可以利用.NET Framework的强大功能。

powershell具有在硬盘中易绕过，内存中难查杀的特点。一般在后渗透中，攻击者可以在计算机上执行代码时，会下载powershell脚本来执行，ps1脚本文件无需写入到硬盘中，直接可以在内存中执行。

### 0x02 前戏 ###

常见的 powershell 攻击工具有 powersploit、nishang、empire、powercat，试了试这些免杀脚本,发现都不太理想,大部分都被检测到了，想着要不自己尝试尝试?

cs，上号!

![图片][c0fc9addb210409c32a29044c14dbb3d.png]

首先生成一个自带的 powershell 脚本

![图片][5ed4821dff622260e8f26959bbd39d11.png]

看一下自带的，是把shellcode加载到内存中的代码放到字符串中然后字符串然后IEX执行代码:

![图片][a52640cc2f1fc04db8144ea7689ef7d3.png]

查杀效果:

![图片][a0fee6879bdec6bc2c23bd638a5a9c0e.png]

并不是很理想,毕竟大家都在用,很多杀软都有了特征和指纹

### 0x03 开始尝试混淆 ###

![图片][85853fd08a5efc8451d4ac9011a8651c.png]

![图片][028ab1e6492e06d4625e6afbe6f2d996.png]

既然是把字符串进行加载,不如整个编一个base64?然后在解码后加载，开始尝试:

首先把字符串全部给 base64，我这里先用 burp base64

![图片][6b7e26d2bb0ebc82a2563af4f9fa368c.png]

然后扔进去在加载之前 base64 还原

解密后变量=[System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String(加密后变量))

把编码后的代码解码后加载,顺便搞一个 UTF-8

![图片][285cbbf5b87ee04fefa85701570ce113.png]

执行执行一下看看是否可以上线:

> Powershell -ExecutionPolicy Bypass -File .\\payload.ps1

![图片][e0177987537750f47fcf74636619fa32.png]

查看 cs 是否上线:

![图片][ec932677d5bdeb129762dd7ac4705b6b.png]

发现 cs 成功上线，去查看一下免杀效果：

> https://www.virustotal.com

![图片][eb419b00e9ea0f50e9749c7fbca1e1b5.png]

![图片][d56f1cf1b7fbbe4ce3d2e0589f9d8874.png]

...这就把杀软干懵逼了 ?

尝试修改变量的名称来绕过

发现没什么太大的用处，还剩两个

尝试把base64编码后的字符串拆开看看:

![图片][9310208b07450292f69919f31bba4f13.png]

把上面的 base64 的字符串猜开来在 base64 的时候组合一下

![图片][5a3916153a976a297b0add4f6ea73e98.png]

查看 cs 是否上线:

![图片][5300cd364f226613ee7cd93aa80fb596.png]

查看免杀效果:

![图片][39bc7d319dd90ce295048f1d61724a76.png]

这就完事了,不过只是静态免杀

### 0x04 实战 ###

这一次测试一下，某绒，某 60，(这两个杀软一装,我虚拟机都有点扛不住)

![图片][8e9240dc1035cc2c0b7f3ef0fbb2cce5.png]

全部更新到最新,先静态扫描试试   
![图片][6d787f29d70a2ab1beb80b4331841305.png]

激动人心的时候到了,试试运行

![图片][df1118ba1728634d0af3d2faca759afb.png]

发现他们一点反应都没有

查看 cs 是否上线:

![图片][7b86111d50e8516041420872c2f1c3f4.png]

成功上线

没想到这么顺利

![图片][a6866fa8cf39252cc98ed2430f76a6fe.png]

### 0x05 结语 ###

在测试过程中的一些发现:

如果是没有改证书的话貌似hi被某绒给检测到

改证书参考:

Cobalt Strike绕过流量审计

> https://paper.seebug.org/1349/

根据base64加密的方法还可以推断出使用其他加密比如ascii码加密也有同样的效果

大家可以根据我的方法变形，比如可以拆成很多段，在配合其他的加密和解密手段进行免杀，制作属于自己的免杀

[c0fc9addb210409c32a29044c14dbb3d.png]: /images/20221120/dd79ba3dfd5449ebb16dae6e9f31de07.png
[5ed4821dff622260e8f26959bbd39d11.png]: /images/20221120/26973a94196642e9b93432ee46ddf928.png
[a52640cc2f1fc04db8144ea7689ef7d3.png]: https://img-blog.csdnimg.cn/img_convert/a52640cc2f1fc04db8144ea7689ef7d3.png
[a0fee6879bdec6bc2c23bd638a5a9c0e.png]: https://img-blog.csdnimg.cn/img_convert/a0fee6879bdec6bc2c23bd638a5a9c0e.png
[85853fd08a5efc8451d4ac9011a8651c.png]: https://img-blog.csdnimg.cn/img_convert/85853fd08a5efc8451d4ac9011a8651c.png
[028ab1e6492e06d4625e6afbe6f2d996.png]: https://img-blog.csdnimg.cn/img_convert/028ab1e6492e06d4625e6afbe6f2d996.png
[6b7e26d2bb0ebc82a2563af4f9fa368c.png]: https://img-blog.csdnimg.cn/img_convert/6b7e26d2bb0ebc82a2563af4f9fa368c.png
[285cbbf5b87ee04fefa85701570ce113.png]: https://img-blog.csdnimg.cn/img_convert/285cbbf5b87ee04fefa85701570ce113.png
[e0177987537750f47fcf74636619fa32.png]: https://img-blog.csdnimg.cn/img_convert/e0177987537750f47fcf74636619fa32.png
[ec932677d5bdeb129762dd7ac4705b6b.png]: https://img-blog.csdnimg.cn/img_convert/ec932677d5bdeb129762dd7ac4705b6b.png
[eb419b00e9ea0f50e9749c7fbca1e1b5.png]: https://img-blog.csdnimg.cn/img_convert/eb419b00e9ea0f50e9749c7fbca1e1b5.png
[d56f1cf1b7fbbe4ce3d2e0589f9d8874.png]: https://img-blog.csdnimg.cn/img_convert/d56f1cf1b7fbbe4ce3d2e0589f9d8874.png
[9310208b07450292f69919f31bba4f13.png]: https://img-blog.csdnimg.cn/img_convert/9310208b07450292f69919f31bba4f13.png
[5a3916153a976a297b0add4f6ea73e98.png]: https://img-blog.csdnimg.cn/img_convert/5a3916153a976a297b0add4f6ea73e98.png
[5300cd364f226613ee7cd93aa80fb596.png]: https://img-blog.csdnimg.cn/img_convert/5300cd364f226613ee7cd93aa80fb596.png
[39bc7d319dd90ce295048f1d61724a76.png]: https://img-blog.csdnimg.cn/img_convert/39bc7d319dd90ce295048f1d61724a76.png
[8e9240dc1035cc2c0b7f3ef0fbb2cce5.png]: https://img-blog.csdnimg.cn/img_convert/8e9240dc1035cc2c0b7f3ef0fbb2cce5.png
[6d787f29d70a2ab1beb80b4331841305.png]: https://img-blog.csdnimg.cn/img_convert/6d787f29d70a2ab1beb80b4331841305.png
[df1118ba1728634d0af3d2faca759afb.png]: https://img-blog.csdnimg.cn/img_convert/df1118ba1728634d0af3d2faca759afb.png
[7b86111d50e8516041420872c2f1c3f4.png]: https://img-blog.csdnimg.cn/img_convert/7b86111d50e8516041420872c2f1c3f4.png
[a6866fa8cf39252cc98ed2430f76a6fe.png]: https://img-blog.csdnimg.cn/img_convert/a6866fa8cf39252cc98ed2430f76a6fe.png