!!!Важно!!!
Вся информация предоставлена исключительно в ознакомительных целях. Ни автор, ни администрация портала не несут ответственности за любой возможный вред, причиненный материалами данной статьи.Применение в корыстных целях карается законодательством РФ.
Функция Bypass-AMSI
В этой статье вы можете познакомится с функцией Bypass-AMSI. Проблема, с которой мы столкнулись, заключается в том, что функция была обнаружена самой AMSI как вредоносная, поэтому она не запускалась в Windows 10. Это логично.
Первым делом было проверить путь создания DLL с кодом, указанным в статье, написанной на C#. Затем используйте DLL внутри процесса Powershell, чтобы отключить AMSI. Это мы уже видели в предыдущей статье.
Мы хотели реализовать метод DLL. Для этого мы создали функцию под названием amsi-dlldisk. Эта функция будет делать следующее:
1. Загрузите DLL, которую мы загрузили в репозиторий GitHub ibombshell.
2. Запуск загрузки DLL в процессе Powershell.
3. Запустите метод «Disable» DLL, чтобы отключить AMSI.
Как вы можете видеть во время работы над этим можно было увидеть новый способ сделать это, не проходя через диск, который всегда интересен. Для этого мы использовали исходную функцию Bypass-AMSI, но мы использовали одну из стратегий уклонения от AMSI, которая была не чем иным, как конкатенацией строк.
Если мы проанализируем строку в base 64, мы увидим, что AMSI обнаруживает ее как что-то вредоносное. Разрезание string на несколько кусков может быть попыткой уклониться от защиты. Что-то простое, но функциональное.
В этом случае он был разделен только на фрагмент, который AMSI обнаруживает это как вредоносное, поэтому функция, которая может быть отображена ниже, не приводит к тому, что AMSI обнаруживает функцию как плохую.
Защитник Windows и что будет дальше
Правда, обход AMSI дает нам интересный путь для загрузки скриптов и функций, например, в память. Следует отметить, что, кроме того, мы должны сделать что-то, чтобы уклониться от AV. В Windows 10 после обхода AMSI, если мы используем публичные скрипты, такие как Mimikatz, у нас будут проблемы с защитником Windows.
По этой причине ibombshell была включена функция, которая позволяет отключить мониторинг в режиме реального времени защитника Windows, хотя для этого вы должны иметь привилегию в системе.
Функция проверяет наличие прав администратора и отключает мониторинг в режиме реального времени, если он активен. Таким образом, использование DLL на диске, скрипты, другой тип файлов будет намного незаметнее.
Ссылки на ibombshell:
— MacOS & Windows: Pentesting it with ibombshell
— ibombsehll: Whitepaper disponible
— ibombshell: Shell de pentesting en MacOS con Powershell
— ibombshell 0.0.1b liberada en el repositorio GitHub de ElevenPaths
— ibombshell: Crear una función de pentesting para MacOS
— ibombshell: Crear un módulo de extracción de claves privadas SSH en Windows 10
— ibombshell 0.0.1b en GitHub & Environment Injection UAC Bypass en Windows 10
— ibombshell: Mocking Trusted Directories UAC Bypass en Windows 10
— ibombshell en Black Hack Europe 2018: Nuevas Funciones