FTP免杀绕过杀软及钓鱼绕过邮箱检测技术详解<\/h1>

一、技术概述<\/h2>

本技术通过FTP命令执行结合PowerShell脚本实现恶意代码的免杀执行，并配合钓鱼邮件绕过邮箱安全检测。主要包含以下关键点：<\/p>

利用FTP命令的!<\/code>执行特性进行命令执行<\/li>
PowerShell脚本的多层混淆绕过杀软静态检测<\/li>
伪造HTML页面隐藏真实恶意文件下载链接<\/li>

绕过主流邮箱的安全检测机制<\/li>
<\/ol>
二、环境准备<\/h2>
所需工具<\/h3>

Cobalt Strike (CS) 服务端和客户端<\/li>
文本编辑器（如Notepad++）<\/li>
FTP客户端<\/li>
Web服务器（用于托管恶意文件）<\/li>
<\/ul>
基础配置<\/h3>

启动CS服务端<\/li>
客户端连接至服务端<\/li>
建立监听器<\/li>
生成PowerShell格式的payload<\/li>
<\/ol>
三、技术实现步骤<\/h2>
1. 生成恶意PowerShell脚本<\/h3>
使用CS生成PowerShell格式的payload，保存为a.ps1<\/code>，然后重命名为bad.ps1<\/code>。<\/p>
2. 制作FTP命令执行文件<\/h3>
创建good.dll<\/code>文件，内容如下：<\/p>
^ -exec bypass .\\bad.ps1
<\/code><\/pre>
技术原理：<\/p>

^<\/code>：转义字符，用于绕过简单字符串检测<\/li>
-exec bypass<\/code>：绕过PowerShell执行策略<\/li>
.\\bad.ps1<\/code>：执行当前目录下的恶意脚本<\/li>
<\/ul>
3. 制作主执行文件<\/h3>
创建a.ps1<\/code>文件，内容为：<\/p>
1 -""s:aaa.dll
<\/code><\/pre>
参数说明：<\/p>

-s<\/code>：FTP的标准参数，指定包含FTP命令的脚本文件<\/li>
""<\/code>：空字符串，用于混淆和绕过安全检查<\/li>
aaa.dll<\/code>：实际应为good.dll<\/code>，此处可能是笔误<\/li>
<\/ul>
4. 文件结构组织<\/h3>
完整文件结构：<\/p>
攻击文件夹\/
├── a.ps1            (主执行文件)
├── good.dll         (FTP命令执行文件)
└── bad.ps1          (CS生成的恶意PowerShell脚本)
<\/code><\/pre>
5. 打包与分发<\/h3>

将上述文件打包为ZIP压缩包<\/li>
上传至GitHub获取下载链接<\/li>
创建伪造的HTML页面，将下载链接伪装成"查杀后的docx文件"<\/li>
<\/ol>
四、技术原理分析<\/h2>
1. FTP命令执行绕过<\/h3>
利用FTP客户端的特性：<\/p>

在FTP命令模式下，输入!<\/code>可以执行系统命令<\/li>
通过脚本自动执行这一过程，避免人工交互<\/li>
<\/ul>
2. PowerShell混淆技术<\/h3>
采用的混淆方法：<\/p>

大小写混合（如$ExeCuTiOnCoNtExT<\/code>）<\/li>
转义字符（^<\/code>）<\/li>
执行策略绕过参数（-exec bypass<\/code>）<\/li>
分块执行（InvOkeCoMmAnD.NeWScriPtBlOcK<\/code>）<\/li>
<\/ul>
3. 杀软绕过机制<\/h3>
静态检测绕过：<\/p>

多层文件调用，分离恶意代码<\/li>
非常规文件扩展名（.dll用于存储命令）<\/li>
命令字符串混淆<\/li>
<\/ul>
动态检测绕过：<\/p>

针对360杀毒、Windows Defender有效<\/li>
火绒会检测到可疑的PowerShell进程创建<\/li>
<\/ul>
五、钓鱼邮件制作<\/h2>
1. HTML页面伪装<\/h3>
创建看似合法的文件下载页面：<\/p>

界面伪装成杀毒软件扫描完成界面<\/li>
下载按钮链接指向恶意ZIP包<\/li>
文件名显示为"已查杀_文档.docx"类安全名称<\/li>
<\/ul>
2. 邮箱检测绕过技巧<\/h3>
成功要素：<\/p>

不直接发送可执行文件<\/li>
下载链接托管在可信平台（GitHub）<\/li>
链接显示名称与真实内容不符<\/li>
邮件正文诱导用户认为文件已通过安全检测<\/li>
<\/ul>
六、防御建议<\/h2>
针对企业管理员<\/h3>

禁用不必要的命令行工具（FTP、PowerShell）<\/li>
监控异常进程创建（特别是cmd->ftp->powershell链）<\/li>
限制从外部下载ZIP文件并自动执行内容<\/li>
<\/ol>
针对终端用户<\/h3>

谨慎下载邮件中的附件，即使显示为"已查杀"<\/li>
注意文件实际扩展名与显示名称是否一致<\/li>
对可疑的PowerShell执行请求保持警惕<\/li>
<\/ol>
七、测试结果<\/h2>
实际测试验证：<\/p>

成功绕过主流邮箱的安全检测<\/li>
静态查杀全部绕过<\/li>
动态检测绕过360杀毒、Windows Defender<\/li>
火绒会检测到可疑的PowerShell进程创建行为<\/li>
<\/ul>
八、技术演进方向<\/h2>

替换FTP为其他可信命令行工具<\/li>
增加更多层文件调用混淆<\/li>
结合文档漏洞（如Office宏）提高成功率<\/li>
使用更隐蔽的C2通信方式<\/li>
<\/ol>

本技术文档详细说明了从环境准备到最终攻击成功的完整链条，重点突出了各环节的绕过技术和实现原理，同时提供了相应的防御建议。使用时请确保符合法律法规，仅用于安全研究目的。<\/p>

FTP免杀绕过杀软及钓鱼绕过邮箱检测技术详解<\/h1>

二、环境准备<\/h2>

三、技术实现步骤<\/h2>

1. 生成恶意PowerShell脚本<\/h3> 使用CS生成PowerShell格式的payload，保存为a.ps1<\/code>，然后重命名为bad.ps1<\/code>。<\/p>

四、技术原理分析<\/h2>

五、钓鱼邮件制作<\/h2>

六、防御建议<\/h2>

1. 生成恶意PowerShell脚本<\/h3>
使用CS生成PowerShell格式的payload，保存为`a.ps1<\/code>，然后重命名为bad.ps1<\/code>。<\/p>`