GoAround: herramienta para bypass de AMSI y ofuscación de código PowerShell

En esta nueva entrada, os presentamos GoAround, una herramienta enfocada a realizar bypasses en el mecanismo AMSI (Anti-Malware Scan Interface) de Windows y a la ofuscación de código escrito en PowerShell. La herramienta está desarrollada por mi ex-compañera Ana Junquera Méndez, con la cual pude personalmente compartir varios meses de trabajo juntos en Grupo CIES Alisec.

Podéis encontrar la herramienta publicada en su GitHub (además de una generosa documentación): https://github.com/AJunque9/GoAround#bypass-types. No obstante, también podéis encontrar una entrada en el blog del archiconocido hacker Chema Alonso escrita por la propia Ana donde os explica en profundidad las técnicas que utilizó durante el desarrollo de la herramienta: https://www.elladodelmal.com/2021/10/goaround-automatizacion-de-bypasses.html

Tanto en tareas de pentesting como en ejercicios de Red Team el uso de scripts, herramientas y código escritos en PowerShell se hace indispensable, especialmente en entornos de Directorio Activo. Sin embargo, es también muy común que las organizaciones cuenten con algunas medidas defensivas entre las que se suele encontrar AMSI, normalmente integrado con la mayoría de EDR (Endpoint Detection and Response) modernos.

Por ello, la posibilidad de hacer un bypass de estas defensas y la ofuscación de código en PowerShell son de gran utilidad, ya que pueden marcar la diferencia entre la correcta ejecución de una herramienta y su detección por parte del Blue Team o los equipos de forense tras un incidente. Como siempre, desde AsturHackers os recordamos (tal como la propia Ana comenta en su proyecto) que estas herramientas deben ser siempre utilizadas para fines legales y dentro del alcance acordado con el cliente.

¡Enhorabuena por el trabajo y por el Máster, Ana! Espero que pronto podamos tenerte como autora en nuestro blog 😉

~km0xu95

Comments are closed.