0x00 前言
0x01 火绒测试
物理机装的只有火绒,以它为例简单测试下,其他杀软大家自己测试,因为之前有测试过这类脚本,所以知道有以下两个特征HackTool/Meterpreter.a,如下图所示。
AAEAAAD/////AQAAAAAAAAAEAQAAACJTeXN0ZW0uRGVsZWdhdGVTZXJpYWxpemF0aW9uSG9sZGVy
AwAAAAhEZWxlZ2F0ZQd0YXJnZXQwB21ldGhvZDADAwMwU3lzdGVtLkRlbGVnYXRlU2VyaWFsaXph
上边两个特征可用" & "这种简单混淆绕过,然后再次扫描又被检测为Trojan/JS.Starter.e,查杀的fmt.Deserialize_2方法,这是第三个特征...,如下图所示。
Set d = fmt.Deserialize_2(Base64ToStream(s))0x02 脚本免杀
vbs obfuscated,Recently updated排序找到一个5天前更新的VBScrambler,同类项目也可以去测试下,如下图所示。VBScrambler是一个基于Python写的VBScript代码混淆器,可将VBScript脚本文件或单行代码进行混淆,对于该工具的详细介绍、工作原理、可选参数以及使用方法可以去项目地址详细了解。
这里我们将DotNetToJScript输出的VBScript脚本文件代码修改为ASP可用代码,然后再用VBScrambler工具来进行混淆并输出保存到一个新的文件cstest.vbs,如下图所示。
python3 VBScrambler.py -s 5 -f cs.vbs -o cstest.vbs打开cstest.vbs文件在顶/尾部加上ASP标识<% %>,然后再将该文件扩展名修改为.asp,以下为经过混淆后的ASP代码,无明显特征(SNIP省略了部分代码),如下图所示。
这里和之前操作一样,将混淆后的ASP脚本上传到目标Web目录下,使用任意一款浏览器访问该脚本文件即可上线CobaltStrike,因为我是本地测试,所以直接用的curl,如下图所示。
curl http://192.168.1.110/cstest.asp0x03 免杀效果
这里我也只是简单的测试了下国内常用的360、火绒和Defender,其他更多AV/EDR/WAF等安全防护的免杀效果大家自行测试,如下图所示。
火绒安全软件:
360安全卫士(核晶):
Windows Defender:
静态扫描过了,但在访问执行时仍会被AMSI检测到并拦截……!