Ayer estuvimos viendo lo que era AMSI y un poco de como saltarlo, el día de hoy iniciando la semana hablaremos de amsi.fail.

Este sitio web nos permite generar un bypass aleatorio siendo este único entre cada solicitud, es decir que no tendremos payloads totalmente diferentes es decir la firma será distinta entre cada uno que se genere.

Al acceder al portal contamos con la opción de generar,

• Unknown - Force error.
• Reflection method.
• Reflection method with WMF5 autologging bypass.

Un punto a considerar es que el bypass es realizado solo al usuario actual, por lo tanto, si levantamos más de una terminal de PowerShell nos tocara realizar el bypass respectivamente, después de generar el payload respectivo en amsi.fail.

Vale aclarar que esto llega a ser una opción adicional que podríamos probar, si los mismos son detectados ir viendo otras opciones para saltar AMSI, la intención de esta entrada es comenzar a contar con diferentes opciones para realizar el bypass de controles en entornos Windows y dar los primeros pasos conociendo lo que es AMSI.

El código del sistema se encuentra en el repositorio de Flangvik

Regards,
Snifer