Tutoriales

Evasión AV, indetectable, herramienta de entrega de carga útil

EXOCET Mejor que el módulo «Cargas útiles evasivas» de Metasploit porque EXOCET usa AES-256 en modo GCM (modo Galois/Contador). Las cargas útiles de evasión de Metasploit utilizan un cifrado RC4 fácil de detectar. Si bien RC4 puede descifrar más rápido, AES-256 es más difícil de determinar la intención del malware.

Sin embargo, es posible construir una carga útil de Evasive usando Metasploit y luego vincularla con EXOCET. Entonces, EXOCET se descifrará a través de AES-256 y luego Metasploit Evasive payload se descifrará a sí mismo desde RC4.

Al igual que mi proyecto anterior DarkLordObama, este conjunto de herramientas está diseñado para ser una herramienta de entrega/lanzamiento, como lo hace Veil-Evasion.

Proyecto Señor Oscuro Obama

Sin embargo, EXOCET no se limita a una sola base de código o plataforma en la que se ejecuta Python. EXOCET funciona en todas las plataformas y arquitecturas compatibles con Go.

Descripción general de los peces voladores

EXOCET, que en realidad es un tipo de encriptación de cuentagotas de malware que recicla una carga fácilmente detectable como WannaCry, la encripta usando AES-GCM (Galois/Counter Mode) que es más seguro que AES-CBC, y luego Arquitectura y plataforma para crear un cuentagotas. archivo para la mayoría de las personas.

básicamente…

  1. Ingiere malware peligroso que ahora puede ser detectado por motores antivirus
  2. luego los encripta y genera sus propios archivos Go
  3. Este archivo Go se puede compilar de forma cruzada con el 99 % de las arquitecturas conocidas.
  4. Después de la ejecución, escriba la carga útil cifrada en el disco y ejecútela en la línea de comando inmediatamente
  5. O, en lugar de eliminar el archivo, utilizará el módulo go-memexec de amenzhinsky github.com/amenzhinsky/go-memexec para ejecutar el shellcode refactorizado en la memoria
  6. Se está desarrollando un ejecutor de shellcode personalizado., toma el shellcode C normal, después de la transformación numérica, lo ejecutará creando un nuevo proceso después de asignar el espacio de direcciones virtuales correcto y otorgarle permisos RWX en Windows

Eso significa arquitectura de 32 y 64 bits, funciona en Linux, Windows, Mac, Unix, Android, iPhone, etc. Puede tomar cualquier cosa, me refiero a cualquier cosa, como Morris Worm en 1988, que casi destruyó Internet (explotó una falla en el demonio de escucha con dedos en UNIX) y lo convirtió nuevamente en un arma cibernética viable.

EXOCET está diseñado para usarse con programas DSX o lo que imagino como «Cyber ​​​​Metal Gear». Capacidad para lanzar y propagar malware peligroso sin un rastro de lanzamiento rastreable.

EXOCET está escrito íntegramente en Go.

cómo utilizar

EXOCET, cualquiera que sea el binario que use para ejecutarlo, requiere que Golang funcione. Por defecto genera un archivo crypter .go.

  1. Usuarios de Windows: Instalar Ir aquí
  2. Usuarios de Linux: ejecutar sudo apt-get update && sudo apt-get install -y golang
  3. Tienes que instalar los archivos fuente EXOCET en golang go get github.com/tanc7/EXOCET-AV-Evasion
  4. Los subrequisitos también se descargarán e instalarán
  5. Para usuarios de Windows y Mac x64, los archivos binarios precompilados se encuentran en la carpeta /bin

ejecutarlo

vaya a ejecutar EXOCET.go detectablemalware.exe outputmalware.go

El sistema generará automáticamente una clave para usted. Las claves tienen 64 caracteres y consisten enteramente en bash y un redirector de shell pipe cmd.exe que confunde e interrumpe los intentos de fuerza bruta contra la clave al causar un comportamiento impredecible y destructivo en el dispositivo del analista forense.

Para objetivos de Windows de 64 bits…

env GOOS=windows GOARCH=amd64 go build -ldflags «-s -w» -o outputMalware.exe outputmalware.go

sal uno outputmalware.exe documento

Para destinos MacOS de 64 bits

env GOOS=darwin GOARCH=amd64 go build -ldflags «-s -w» -o outputMalware.macho outputmalware.go

Para destinos Linux de 64 bits

env GOOS=linux GOARCH=amd64 go build -ldflags «-s -w» -o outputMalware.elf outputmalware.go

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba