Trong thế giới của Red Teaming và Pentesting, PowerShell từ lâu đã là một vũ khí đắc lực nhờ khả năng can thiệp sâu vào hệ thống Windows. Tuy nhiên, sự ra đời của AMSI (Antimalware Scan Interface) và các giải pháp EDR (Endpoint Detection and Response) hiện đại đã khiến việc thực thi các script "nguyên bản" trở nên khó khăn hơn bao giờ hết.

Hôm nay, chúng ta sẽ cùng tìm hiểu về Chimera – một công cụ obfuscation (làm nhiễu mã nguồn) mạnh mẽ được thiết kế để giúp các script PowerShell "tàng hình" trước các trình quét mã độc. 1. Chimera là gì?


Chimera, được phát triển bởi tác giả tokyoneon, là một script PowerShell dùng để obfuscate các file script khác (thường là các payload như shells, lướt web, hoặc script thu thập dữ liệu).

Mục tiêu chính của Chimera không chỉ là làm cho code khó đọc đối với con người, mà quan trọng hơn là vượt qua sự kiểm soát của AMSI và các giải pháp Antivirus thương mại dựa trên chữ ký (signature-based detection). 2. Tại sao AMSI lại "ngại" Chimera?


AMSI là một lớp bảo vệ của Windows, nó quét các script ngay khi chúng được nạp vào bộ nhớ (memory), trước khi thực thi. Nếu AMSI phát hiện các từ khóa "nhạy cảm" như AmsiScanBuffer hay các hàm độc hại đã biết, nó sẽ chặn đứng tiến trình.

Chimera giải quyết vấn đề này bằng nhiều kỹ thuật kết hợp:

• Thay thế tên biến và hàm: Biến các tên hàm dễ nhận biết thành các chuỗi ký tự ngẫu nhiên vô nghĩa.
• Chia nhỏ chuỗi (String Fragmentation): Cắt các chuỗi ký tự nhạy cảm thành nhiều đoạn nhỏ và nối lại khi thực thi.
• Mã hóa ký tự: Sử dụng các định dạng như Hex, Base64 hoặc chuyển đổi sang mảng byte.
• Thêm mã rác (Junk Code): Chèn thêm các đoạn mã không có tác dụng thực tế để làm thay đổi cấu trúc file và đánh lừa các thuật toán phân tích tĩnh.

3. Các tính năng nổi bật của Chimera

• Hoàn toàn bằng PowerShell: Bạn không cần cài đặt thêm các trình biên dịch phức tạp.
• Khả năng tùy biến cao: Cho phép người dùng chọn mức độ obfuscation khác nhau.
• Tích hợp Bypass AMSI: Chimera có sẵn các phương pháp bypass AMSI nổi tiếng được chèn trực tiếp vào payload đã xử lý.
• Hỗ trợ đa dạng Payload: Từ các script đơn giản đến các công cụ phức tạp như Nishang hay Empire.

4. Cách thức hoạt động (Ví dụ minh họa)


Giả sử bạn có một đoạn script độc hại đơn giản. Khi chạy qua Chimera, quá trình sẽ diễn ra như sau:

1. Phân tích: Chimera quét file nguồn để tìm các biến và hàm.
2. Làm nhiễu: Nó thay thế $Password thành $aB1_x9, Invoke-Expression thành một chuỗi nối ghép kiểu ('In'+'voke-'+'Expre'+'ssion').
3. Bọc mã (Wrapping): Toàn bộ script có thể được nén hoặc mã hóa thêm một lần nữa và giải mã ngay trong RAM khi chạy.

Kết quả là một file .ps1 trông giống như một đống ký tự hỗn độn mà không phần mềm diệt virus nào có "chữ ký" trùng khớp trong cơ sở dữ liệu. 5. Cảnh báo và Trách nhiệm


Chimera là một công cụ mạnh mẽ, và như mọi công cụ bảo mật khác, nó là một con dao hai lưỡi.

• Đối với các chuyên gia bảo mật: Đây là công cụ tuyệt vời để kiểm tra khả năng phòng thủ của hệ thống, giúp khách hàng nhận ra rằng chỉ dựa vào Antivirus là chưa đủ.
• Đối với phía phòng thủ (Blue Team): Sự tồn tại của Chimera nhắc nhở chúng ta cần tập trung vào Giám sát hành vi (Behavioral Analysis) thay vì chỉ dựa vào quét file. Việc giám sát các tiến trình powershell.exe bất thường và log sự kiện 4104 (Script Block Logging) là cực kỳ quan trọng.

Lời kết


Chimera là minh chứng cho thấy cuộc đua giữa kẻ tấn công và người phòng thủ chưa bao giờ dừng lại. Việc hiểu rõ cách các công cụ như Chimera hoạt động không chỉ giúp các Pentester làm việc hiệu quả hơn mà còn giúp các quản trị viên hệ thống xây dựng những rào cản vững chắc hơn.

Bạn có thể tìm thấy dự án này trên GitHub tại: tokyoneon/Chimera