【JDICSP小分享第十二期】
powershell个强大的工具,但也很容易被黑客利用,metasploit、cobalt strike等框架可使用powershell脚本让对方主机“一键上线”,混淆过后的脚本更可怕,可绕过杀软神不知鬼不觉就中招。
首先我们找一个已知的Mimikatz的powershell payload(https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1),使用VirusTotal查杀一下,结果是一片红。
下面我们使用开源Powershell混淆工具对该mimikatz脚本payload.ps1进行混淆。
Invoke-Obfuscation链接:https://github.com/danielbohannon/Invoke-Obfuscation
打开Invoke-Obfuscation
在powershell里输入如下命令
Import-Module ./Invoke-Obfuscation.psd1
Invoke-Obfuscation
打开后界面如下图
导入脚本进行混淆
抛砖引玉,现在我们导入要混淆的脚本:
set scriptpath payload.ps1
由于脚本比较大,先压缩一下,依次输入compress和1
压缩后依然很大,使用encoding会耗费很长的时间,所以这里使用string
三种都混淆一次
导出
out 2.txt
将混淆过后的2.txt放到VirusTotal查杀一下,基本上大部分杀毒软件都已经免杀成功。
混淆过后的powershell脚本依然可以正常使用。
推荐阅读之等保2.0系列
等级测评服务、安全巡检服务、安全培训服务
可信众测服务、安全监测服务、应急响应服务
风险评估服务、安全加固服务、应急演练服务
上线测评服务、安全运维服务、敏感时期保障
咨询电话:0731-83758161
湖南金盾为您提供更专业的信息安全服务
www.jdicsp.org
办公地址:湖南省长沙市岳麓区麓云路100号兴工国际产业园10栋502
长按二维码关注我们
原文始发于微信公众号(湖南金盾评估中心):【JDICSP】第十二期:POWERSHELL脚本混淆免杀
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论