Tide安全团队分享：免杀Mshta.exe执行payload技术分析

"37.远控免杀专题(37)-白名单Mshta.exe执行payload(VT免杀率26-58)1" 本文主要探讨的是如何在网络安全防御环境中，利用白名单机制中的Mshta.exe来执行payload，从而实现远程控制的免杀技术。Mshta.exe是Microsoft Windows操作系统中的一个组件，通常用于执行HTML应用程序，它在某些情况下可能被恶意攻击者利用以绕过反病毒软件的检测。 Tide安全团队是一支专注于网络攻防、Web安全、移动终端、安全开发、IoT/物联网/工控安全等多个领域的专业团队，他们致力于分享高质量的原创文章和安全工具，同时也研发了多套开源安全平台，如网络空间搜索平台、移动端安全管控平台等。此外，团队成员在各大安全社区活跃，分享研究成果和经验。 在免杀技术中，文章提到了一个关键点：使用Mshta.exe执行payload可以降低被反病毒软件检测到的风险。文章中提到的免杀能力一览表显示，通过特定的方法，可以在一些杀毒软件中成功避免被检测为病毒。例如，测试使用了Metasploit框架的`windows/meterpreter/reverse_tcp`模块生成payload，并且在360全家桶和火绒这两款常见的杀毒软件中进行了静态和动态查杀的测试。 尽管测试结果表明某些payload在特定杀毒软件中未被检测，但在Virustotal.com上的在线查杀结果显示，免杀率在26%至58%之间，这意味着并非所有杀毒引擎都无法检测到这些技术。这表明虽然Mshta.exe可以作为免杀手段，但并不是一种完全可靠的逃避检测策略。 文章强调，所涉及的技术、思路和工具仅适用于合法的安全研究和学习，禁止用于非法活动或盈利目的。用户需自行承担不当使用可能导致的后果。为了方便读者，文章提供了相关的软件下载链接和打包资料，以便于深入研究和实践。 总结来说，这篇内容详细介绍了如何利用Mshta.exe进行远程控制payload的免杀技术，并提供了Tide安全团队的相关研究成果和学习资源。然而，这种技术的使用必须遵循合法性和道德原则，不得用于违法行为。