PowerShell木马免杀利器: Invoke-Obfuscation(过火绒)

系统管理员 2023-09-24 16:08 246阅读 0赞

## Invoke-Obfuscation ##

## 简介 ##

Invoke-Obfuscation工具下载地址: https://github.com/danielbohannon/Invoke-Obfuscation  
Invoke-Obfuscation是一款PowerShell混淆工具，可以将PowerShell脚本加密，使得它的检测和分析变得更加困难。该工具包含多种加密方法，可以单独使用也可以结合使用，以提高混淆的效果。Invoke-Obfuscation还有多个选项可以选择，如TOKEN、AST、STRING、ENCODING、COMPRESS和LAUNCHER，可以帮助你更好地混淆脚本

## 简单演示 ##

### 1.CS生成ps木马 ###

打开Cobalt Strike, 点击`攻击>生成后门->Payload Generator`

![image-20230106191819966][]

选择相应的监听, 生成`powershell`木马

![image-20230106191957575][]

### 2.导入模块并加载 ###

进入`invoke-Obsfuscation`文件夹并打开powershell, 执行如下命令导入`Invoke-Obfuscation`模块

Import-Module .\Invoke-Obfuscation.psd1

执行如下命令加载模块

Invoke-Obfuscation

![image-20230106192850710][]

随后进入工具命令行界面, 如下图所示, 该工具支持六种加密方式:

*  TOKEN: 将脚本转换为一个或多个PowerShell解析器令牌的序列
 *  AST: 将脚本转换为抽象语法树
 *  STRING: 混淆脚本中的字符串，使得脚本的意图变得模糊不清
 *  ENCONDING: 将脚本转换为ASCII、Unicode或Base64编码
 *  COMPRESS: 将脚本压缩，使得脚本的大小变小，从而使得脚本的传输和存储更加方便
 *  LAUNCHER: 生成一个启动器，该启动器可以在目标系统上执行混淆后的脚本

![1][]

### 3.输入要加密的脚本路径 ###

set scriptpath C:\Users\hacker\Desktop\payload.ps1

![image-20230106220244166][]

### 4.加密脚本 ###

此次我选择编码加密, 输入`encoding`, 随后出现8种编码加密方式, 这里我简单介绍下常用的五种加密

1.  ASCII编码
2.  HEX(16进制)编码
3.  octal(8进制)编码
4.  Binary(2进制)编码
5.  AES算法加密(最常用)

![image-20230106220433823][]

此处我选择5, 即AES算法加密

![1][1 1]

输入`back`返回上级目录, 然后输入`string`对脚本文件进行字符串混肴, 有三种字符串混肴方法, 此处我输入2选择了第二种

![image-20230106222848097][]

### 5.查看加密选项 ###

可以看到加密前和加密后的脚本内容对比, 以及采用了何种加密方法和完整的加密命令

show options

![image-20230106223901101][]

### 6.输出脚本 ###

输出加密后的脚本文件至工具所在目录

out test.ps1

![image-20230106221539461][]

## 杀软测试 ##

### 火绒 ###

使用火绒静态扫描脚本文件, 没有发现威胁

![image-20230106223945754][]

cmd命令行输入如下命令执行脚本, 火绒没有报毒, 成功过掉火绒动态扫描

PowerShell.exe -ExecutionPolicy Bypass -File .\test.ps1

> 至于为何要加上`-ExecutionPolicy Bypass`参数, 这是因为在默认情况下, powershell的安全策略规定不允许运行命令和文件, 但是可以通过添加此参数来绕过任意一个安全保护规则, 在真实的渗透环境中经常用到此参数来执行powershell脚本

![image-20230106224136701][]

### WindowDefender ###

成功过掉WindowDefender的静态扫描

![image-20230106224957853][]

但是过不了WindowDefender的动态扫描

![image-20230106225055133][]

[image-20230106191819966]: https://img-blog.csdnimg.cn/img_convert/68236d1abcf64f2a7b4550306d3d401c.png
[image-20230106191957575]: https://img-blog.csdnimg.cn/img_convert/e01f6230ce7b4708536c85534e92d8bd.png
[image-20230106192850710]: https://img-blog.csdnimg.cn/img_convert/5c2fb36861a37630f495d5fe10c2fef3.png
[1]: https://img-blog.csdnimg.cn/img_convert/97720c21e2cd2c105686f4d978be4632.png
[image-20230106220244166]: https://img-blog.csdnimg.cn/img_convert/a40f93e722f72d61fd7610ccbd27bfd8.png
[image-20230106220433823]: https://img-blog.csdnimg.cn/img_convert/41b9e718045921392d3e7340501f296f.png
[1 1]: https://img-blog.csdnimg.cn/img_convert/9da09f652e17028eb9f9f65d963761d0.png
[image-20230106222848097]: https://img-blog.csdnimg.cn/img_convert/381e7530f8b65c8061864be3301bfc25.png
[image-20230106223901101]: https://img-blog.csdnimg.cn/img_convert/b3c20ac09bcacc838a8b0d826759b6b3.png
[image-20230106221539461]: https://img-blog.csdnimg.cn/img_convert/a00d9f6a760b3a3864c2baa85dd18e4e.png
[image-20230106223945754]: https://img-blog.csdnimg.cn/img_convert/edcb6d50c90beca268476d5e36049052.png
[image-20230106224136701]: https://img-blog.csdnimg.cn/img_convert/d82c7203c3f034243d6ed730cde4a445.png
[image-20230106224957853]: https://img-blog.csdnimg.cn/img_convert/fe2bebb4f6c46749fcf19df7ba4683e5.png
[image-20230106225055133]: https://img-blog.csdnimg.cn/img_convert/a123b3f40a0880ff898f41f36db7fb49.png