Как обойти антивирус с помощью Chimera

Обойти антивирус Chimera

Встроенное решение Microsoft для защиты от вредоносных программ делает все возможное для предотвращения распространенных атак. К сожалению, для пользователей Windows 10 уклонение от обнаружения не требует почти никаких усилий. Злоумышленник, вооруженный этими знаниями, легко обойдет защитное ПО с помощью любого количества инструментов.

Поскольку решение Microsoft для защиты от вредоносных программ является первой линией защиты Windows 10, оно является предметом множества отличных исследований в области безопасности. В этой статье будет представлено краткое введение в то, как злоумышленники могут полностью уклониться от нее.

Еще по теме:

AMSI — основа антивирусного ПО Windows

Основой антивирусного ПО Microsoft, представленного в Windows 10, является интерфейс сканирования на наличие вредоносных программ Windows или AMSI. Антивирусные приложения, включая Защитник Windows, могут вызывать свой набор API-интерфейсов, чтобы запросить сканирование на наличие вредоносного программного обеспечения, сценариев и другого содержимого. Чтобы вкратце описать это, давайте посмотрим на определение Microsoft:

Интерфейс сканирования на наличие вредоносных программ Windows (AMSI) — это универсальный стандарт интерфейса, который позволяет вашим приложениям и службам интегрироваться с любым продуктом защиты от вредоносных программ, установленным на машине. AMSI обеспечивает улучшенную защиту от вредоносных программ для ваших конечных пользователей и их данных, приложений и рабочих нагрузок.

На приведенном ниже снимке экрана злоумышленник загружает скрипт («shell.ps1»), содержащий гнусный код для немедленного установления соединения с удаленным сервером. При попытке выполнить сценарии PowerShell таким образом AMSI будет использовать обнаружение на основе сигнатур для выявления вредоносной активности.

Как обойти антивирус с помощью Chimera

Ниже приведено изображение того же сценария, который используется после некоторой обфускации. Windows 10 не имеет проблем с его запуском. Произвольное сообщение печатается в терминале, когда устанавливается соединение с сервером злоумышленника.

Обход антивируса с помощью Chimera

Как обойти антивирус с помощью Chimera

Chimera — это сценарий обфускации PowerShell, который я создал для обхода Microsoft AMSI, а также коммерческих антивирусных решений. Он переваривает вредоносные сценарии PowerShell, которые, как известно, запускают антивирусные программы, и использует простую подстановку строк и конкатенацию переменных для обхода обычных сигнатур обнаружения. Ниже приведен пример работы Химеры.

Ниже приведен фрагмент Invoke-PowerShellTcp.ps1, того же сценария «shell.ps1», который ранее запускал AMSI.

VirusTotal сообщает о 25 обнаружениях скрипта (показано ниже). Это неудивительно, поскольку Invoke-PowerShellTcp.ps1 невероятно популярен.

Проверка на вирусы на сайте Virustotal

Вот тот же фрагмент, обработанный Chimera:

VirusTotal сообщает об обнаружении обфусцированной версии.

Обфусцированная версия вируса с помощью Chimera на сайте Virustotal

Хотя я загрузил образец в VirusTotal, это очень плохая практика. Как указано в его Политике конфиденциальности:

Все партнеры получают Образцы, которые их антивирусные ядра не определили как потенциально опасные, если один и тот же Образец был обнаружен как вредоносный хотя бы одним антивирусным ядром другого партнера. Такой обмен информацией помогает исправить потенциальные уязвимости в отрасли безопасности.

Проще говоря, если только одно антивирусное ядро ​​обнаруживает файл, созданный Chimera, файл распространяется более чем в 75 антивирусных компаний. Поэтому не загружайте файлы, созданные каким-либо инструментом обфускации, в VirusTotal. Вместо этого используйте локальную автономную виртуальную машину Windows 10 с установленными антивирусными решениями. Таким образом, если файл обнаружен, он не будет распространен среди всех крупных охранных компаний на планете.

Установка Chimera

Чтобы начать работу с Chimera, используйте следующую команду для обновления репозитория APT и установки необходимых зависимостей, необходимых Chimera для правильной работы.

Затем клонируйте мой репозиторий Chimera с помощью команды git clone. Я помещаю его в свой каталог / opt / chimera, как показано ниже.

Затем рекурсивно (-R) измените владельца каталога, чтобы файлы были доступны без прав root.

Теперь перейдите (cd) в новый каталог / opt / chimera.

И повысьте разрешения сценария chimera.sh, чтобы разрешить выполнение в Kali.

Наконец, чтобы просмотреть доступные параметры, выполните Chimera с аргументом —help.

Oбфускация PowerShell

В каталоге shells / есть несколько скриптов Nishang и несколько общих. Все проверено и работает. Однако неизвестно, как непроверенные скрипты будут воспроизводиться с помощью Chimera. Рекомендуется использовать только входящие в комплект оболочки.

Перед использованием сценариев измените жестко заданные IP-адреса (192.168.56.101) на свой адрес Kali. Чтобы узнать свой внутренний IP-адрес, используйте ip -c a и найдите адрес 192.168.X.X. Если вы не видите один из них, ваша система Kali, вероятно, настроена с использованием NAT. Вы захотите выключить виртуальную машину и использовать конфигурацию сети только для хоста.

Порт по умолчанию для всех сценариев — 4444. Используйте sed еще раз, чтобы изменить их, если необходимо.

Теперь используйте следующую команду, чтобы скрыть один из доступных скриптов с помощью Chimera.

В команде много чего происходит. Я кратко разберу каждый аргумент, но просмотрите руководство по использованию для более подробного объяснения и шпаргалку для примеров. Также не забудьте использовать —help для более широких описаний.

  • -f: входной файл.
  • -o: выходной файл.
  • -g: исключить из сценария несколько специфичных для Nishang характеристик.
  • -v: подставить имена переменных.
  • -t: Заменить типы данных.
  • -j: заменить имена функций.
  • -i: вставлять произвольные комментарии в каждую строку.
  • -c: Заменить комментарии произвольными данными.
  • -h: преобразовать IP-адреса в шестнадцатеричный формат.
  • -s: заменять различные строки.
  • -b: обратные кавычки, где это возможно.
  • -e: изучить обфусцированный файл по завершении процесса.

Обход антивируса

В новом терминале запустите прослушиватель Netcat для приема входящих соединений. Обязательно всегда используйте -v, поскольку некоторые сценарии не выводят приглашение оболочки при установке нового соединения.

Переместите файл chimera.ps1 из Kali на локальный компьютер с Windows 10. Затем откройте терминал PowerShell и выполните файл с помощью следующей команды.

Вернувшись в Kali, терминал NC выдаст следующий результат — без претензий со стороны AMSI.

Заключение

Создание защитных средств безопасности — задача не из легких. Интерфейс сканирования на вредоносное ПО от Microsoft является прекрасным примером этого. Мотивированный злоумышленник всегда найдет способ ускользнуть от системы безопасности. В случае с Chimera он просто разбивает струны на множество частей и реконструирует их как переменные. Другие проекты, такие как Invoke-Obfuscation, доводят уклонение до уровня мастерства.

Еще по теме: Обфускация с помощью ProGuard

ВКонтакте
OK
Telegram
WhatsApp
Viber

Добавить комментарий

Ваш адрес email не будет опубликован.