【红队】一个绕过静态检测的 Bash 混淆框架

免责声明

本公众号所提供的文字和信息仅供学习和研究使用，请读者自觉遵守法律法规，不得利用本公众号所提供的信息从事任何违法活动。本公众号不对读者的任何违法行为承担任何责任。工具来自网络，安全性自测，如有侵权请联系删除。

工具介绍

Bashfuscator 是一个用 Python 3 编写的模块化且可扩展的 Bash 混淆框架。它提供了多种不同的方法来使 Bash 单行或脚本更难以理解。它通过生成复杂的、随机的 Bash 代码来实现这一点，这些代码在运行时评估原始输入并执行它。Bashfuscator 使生成高度混淆的 Bash 命令和脚本变得容易，无论是从命令行还是作为 Python 库。

该项目的目的是让红队能够绕过 Linux 系统上的静态检测，并获得编写更好的 Bash 混淆技术的知识和工具。

该框架也是在蓝队的考虑下开发的。借助此框架，Blue Team 可以轻松生成数千个独特的混淆脚本或命令，以帮助创建和测试 Bash 混淆检测。

工具使用

选项：
-l, --list 列出所有可用的混淆器、压缩器和编码器
-c 命令，--command 命令 混淆命令
-f FILE, --file FILE 要混淆的脚本的名称
--stdin 混淆标准输入
-o 输出文件，--outfile 输出文件 将有效负载写入的文件
-q, --quiet 仅打印有效载荷
--clip 将有效负载复制到剪贴板
--test 运行后测试有效载荷，不兼容-q

对于简单的使用，只需传递你想要混淆的命令-c，或者你想要混淆的脚本-f。

混淆选项：
-s {1,2,3}, --payload-size {1,2,3} 所需的有效负载大小。默认值：2
-t {1,2,3}，--执行时间 {1,2,3}   有效载荷的所需速度。默认值：2
--layers LAYERS 要应用的混淆层数，默认值：2。当使用 --choose-mutators 时默认为 1  
--include-binaries 二进制文件 [二进制文件 ...] 在生成的二进制文件中使用有效载荷
--exclude-binaries 二进制文件 [二进制文件 ...] 不想在生成的二进制文件中使用有效载荷
--no-file-write 不要使用需要写入文件的混淆器
--write-dir WRITE_DIR  如果 Mutators 需要写入目录或创建文件

下载链接

https://github.com/Bashfuscator/Bashfuscator

End

原文始发于微信公众号（贝雷帽SEC）：【红队】一个绕过静态检测的 Bash 混淆框架