Chào các bạn, trong bài viết ngày hôm nay mình sẽ giới thiệu cho các bạn cách mà hacker Bypass Antivirus ngay trên chiếc máy tính của bạn mà không gặp bất cứ khó khăn gì. Nghe đến đây, anh em nào mà làm pentester chắc cũng thích cái này lắm đúng không nào ? ^^. Vậy không luyên thuyên nữa, vào vấn đề chính thôi !

Lưu ý: Bài viết này chỉ mang với mục đích giáo dục. Vui lòng các bạn không làm những việc phạm pháp. Mọi hành vi phạm pháp các bạn gây ra thì Anonyviet sẽ không chịu trách nhiệm mọi hành vi đó

InvokeStealth – Công cụ giúp hacker vượt qua các trình diệt Virus 

Invoke-Stealth là một công cụ làm xáo trộn, nén, mã hóa và chuyển đổi các nội dung, các biến, các chuỗi có trong đoạn code được viết bằng ngôn ngữ PowerShell. Công cụ này giúp bạn tự động hóa quá trình giải mã của bất kì tệp với các kĩ thuật khác nhau. Không chỉ vậy, công cụ này được viết bằng ngôn ngữ Powershell và được làm ra bởi tác giả JoelGM. Như vậy, các hacker có thể dễ dàng sử dụng những em virus xinh xắn với đuôi .ps1 để thực hiện hack vào máy tính của bạn rồi. Không những thế, cách thức còn rất là đơn giản, chỉ cần gõ vài câu trên Terminal là bạn đã có thể biến đổi Virus riêng của mình rồi. Nhưng trước khi vào vấn đề đó thì mình sẽ nói qua các chức năng chính của Invoke-Stealth nhé.

Chức năng chính của Invoke-Stealth giúp bạn Bypass Antivirus hoặc mã hóa code:

• Chimera: Thay thế các chuỗi và nối các biến
• BetterXencyprt: Nén và mã hóa với các lần lặp ngẫu nghiên
• PyFuscation: Làm xáo trộn các hàm, biến và tham số
• PSObfuscation: chuyển đổi nội dung thành Byte và mã hóa bằng Gzip
• ReverseB64: mã hóa với base64 và đảo ngược để tránh bị phát hiện

Cài đặt và sử dụng Invoke-Stealth để Bypass AntiVirus

Để cài đặt bạn hãy mở Terminal lên và nhập lệnh sau:

sudo apt install powershell

git clone https://github.com/JoelGMSec/Invoke-Stealth.git

cd Invoke-Stealth

pwsh Invoke-Stealth.ps1

Còn cài đặt ở trên Windows thì bạn hãy tải ngôn ngữ PowerShell tại đây sau đó mở cmd lên và nhập lệnh sau:

powershell iwr -useb https://darkbyte.net/invoke-stealth.php -outfile Invoke-Stealth.ps1

Lưu ý: -outfile các bạn có thể chỉnh sửa đường dẫn để tải về. Ví dụ mình muốn tải Invoke-Stealth về thư mục Downloads thì nhập như sau: powershell iwr -useb https://darkbyte.net/invoke-stealth.php -outfile C:\Downloads\Invoke-Stealth.ps1

Để Bypass Antivirus thì mình sẽ làm như sau:

Ở đây mình có chuẩn bị sẵn một đoạn script BackDoor được viết bằng ngôn ngữ PowerShell để test ^^

Và mình đã cho tệp này vào website virustotal để scan. Như vậy tệp virus.ps1 mà mình vừa tạo ra đã bị phát hiện là có virus. Nếu các bạn chạy tệp này trên chính máy của các bạn thì Windows Defender sẽ ăn nó ngay lập tức. Vậy mình sẽ chuyển qua công cụ Invoke-Stealth như mình đã giới thiệu ở trên để biến đổi con virus :V. Nghe như kiểu biến đổi gen Virus ý nhỉ =))

Tại đây mình đã biến đổi file virus.ps1 với chức năng thay thế các chuỗi và các biến như mình đã nói ở phần chức năng. Cấu trúc của câu lệnh như sau: pwsh Invoke-Stealth.ps1 <tên file .ps1> -technique <chức năng>

Ví dụ: pwsh Invoke-Stealth.ps1 anonyviet.ps1 -technique ReverseB64

Sau khi nó hoàn thành, tệp virus.ps1 của mình đã bị biến đổi như trên hình. Bây giờ mình sẽ thử chức năng khác xem sao sau đó mình thử xem nó có Bypass AntiVirus không nhé. Nhìn rối mắt quá nhỉ :))

Mình sẽ thử chức năng làm xáo trộn biến, hàm và các tham số xem sao nhé !

Như vậy, tệp virus.ps1 của mình đã biến đổi thành 1 đoạn code dạng khác rồi. Bây giờ thì scan lại virus xem nó có Bypass AntiVirus không nhé

Uầy, đã Bypass AntiVirus thành công rồi kìa. Bằng cách này hacker dễ dàng chiếm quyền điều khiển máy hoặc làm bất cứ điều gì trên máy bạn rồi đấy !

Bài viết đến nay là hết rồi, mong rằng bạn học hỏi được điều gì đó qua bài viết này, và mình cũng mong các bạn không được làm các hành vi phạm pháp thay vì đó bạn hãy nghiên cứu cách phòng chống và nâng cao tính an toàn và bảo mật cho người sử dụng nhé. Bye Bye ! Chúc các bạn có một ngày tốt lành !