Toggle sidebar

Крипт шеллкода meterpreter

b0d

b0d

Green Team
02.11.2019
35
64
Пытаюсь обойти дефендер.

Сделал билд по этой статье, выставил флаги и пожал упхом

labs.jumpsec.com

Bypassing Antivirus with Golang - Gopher it! | JUMPSEC LABS

By modifying publicly available code, JUMPSEC demonstrates how it is possible to bypass most antivirus vendors and achieve a reverse shell on a host.
labs.jumpsec.com labs.jumpsec.com

Дефендер сам ехе не палит, но после запуска и коннекта на хендлер метасплоита дефендер просыпается и убивает процесс.
Орет что обнаружен метерпретер.
Получается, что реагирует он именно на шеллкод.
Вопрос, как бы его так криптануть чтобы дефендер успокоился.


Нашел как парни криптуют шеллкод, но ведь при раскриптовке это будет тот же самый шеллкод? Или такой криптовки достаточно?

medium.com

A Trinity of Shellcode, AES & Go

Writing a shellcode AES crypter using Go
medium.com medium.com

У меня есть подозрение, что раз мой ехешник уже не палиться до запуска, то и нет смысла криптовать шеллкод, запал происходит во время его исполнения, а когла шеллкод исполняется он уже расшифрован.

Типа лишний маневр.

Вот здесь ребята с rapid7 про это пишут, мол с runtime и есть основная проблема.

blog.rapid7.com

Hiding Metasploit Shellcode to Evade Windows Defender | Rapid7 Blog

If malware development is a cat-and-mouse game, then I would say that the industry creates some of the most terrifying hunters. Learn more.
blog.rapid7.com

Вопрос в том куда дальше копать?
Если я заморочусь на крипт шеллкода, то придется еще и декрипт прикрутить и возможно я получу то что уже имею, запал шеллкода в памяти.
Как можно видоизменить его в памяти?

Накопал hyperion, еще не пробовал, но это похоже на runtime криптор.

Может нужно вообще в другоую сторону копать?

Я рассуждаю так, что если запал идет самого шеллкода, то нужно лиьбо его видоизменить, либо обфуцировать, либо както накрыть.

Видоизменить шеллкод это слишком круто, подобрать иной можно, но я хочу именно meterpreter.
Остаеться только крипт рантайма и энкодинг шеллкода.
Боюсь, что энкодинг, опять же, не даст результата на уровне рантайма.

Все это происходит во время моего пентеста Подскажите вектор атаки по Windows 10
 
Сортировать по дате Сортировать по голосам
Veil evasion пробовал?
 
За 0 Против
Great one. Worked for me. Good article.
 
За 0 Против
А нагрузка какая генерируется? staged или stageless? Возможно твой пейлоад палится во время подгрузки модулей метерпретер с листенера.

Staged vs Stageless Handlers

Metasploit comes with a variety of payloads, as we all know. Those payloads come in a few different types, and vary depending on platform. Of those types, there are two major “categories” available with a key difference that is often not understood. They are staged and stageless payloads. The...
buffered.io
 
За 0 Против
b0d сказал(а):
Пытаюсь обойти дефендер
Нажмите, чтобы раскрыть...
это, я так понимаю, стандартный защитник винды? так он тупой, как столб, тупо стоит. он не шманает код экзешника, он тупо блокирует неизвестные движения протоколов по портам. разреши эти движения по порту, и он не вдуплит что происходит. возможно попробовать какие то нестандартные порты. и в общем, не стоит пользоваться метерпретером как трояном. его нужно юзать внутри уязвимостей, как дополнительную нагрузку.
но чтоб не пустословить, есть некоторые инструменты, которые криптуют шеллкоды автоматом, и вроде неплохо, но есть куча своих недочетов, например нужны всякие компиляторы.
шеллтер
веном
но это все гиблое дело, если ломать единичную цель, то это совсем не эффективно. если ломать множественные цели, то это тоже не эффективно. делай выводы
 
За 0 Против
Когда дефендер убивает процесс на кали это выглядет так же?
yg140.servegame.com

Не поднимается сессия meterpreter

В метасплойте multi/handler и payload настроены верно. Сессия прилетает, а это значит что сам payload не палится антивирусом целевой системы. Но сессия не поднимается ...и на этом все останавливается. Видимо детектится и блокируется канал пересылки самого стейджера антивирусом или сетевым...
yg140.servegame.com yg140.servegame.com
 
За 0 Против
AlCat сказал(а):
Когда дефендер убивает процесс на кали это выглядет так же?
yg140.servegame.com

Не поднимается сессия meterpreter

В метасплойте multi/handler и payload настроены верно. Сессия прилетает, а это значит что сам payload не палится антивирусом целевой системы. Но сессия не поднимается ...и на этом все останавливается. Видимо детектится и блокируется канал пересылки самого стейджера антивирусом или сетевым...
yg140.servegame.com yg140.servegame.com
Нажмите, чтобы раскрыть...
Не, там идет коннект на листенер и потом сразу оьрыв и метасплоит пишет чтл сессия died.
Это все происходит одновременно с алертом дефендера на машине гдетзапущен метер.

duolinfurga сказал(а):
Veil evasion пробовал?
Нажмите, чтобы раскрыть...
Да, скомпили все виды пэйлоадов под реверс. Везде запал.

s unity сказал(а):
это, я так понимаю, стандартный защитник винды? так он тупой, как столб, тупо стоит. он не шманает код экзешника, он тупо блокирует неизвестные движения протоколов по портам. разреши эти движения по порту, и он не вдуплит что происходит. возможно попробовать какие то нестандартные порты. и в общем, не стоит пользоваться метерпретером как трояном. его нужно юзать внутри уязвимостей, как дополнительную нагрузку.
но чтоб не пустословить, есть некоторые инструменты, которые криптуют шеллкоды автоматом, и вроде неплохо, но есть куча своих недочетов, например нужны всякие компиляторы.
шеллтер
веном
но это все гиблое дело, если ломать единичную цель, то это совсем не эффективно. если ломать множественные цели, то это тоже не эффективно. делай выводы
Нажмите, чтобы раскрыть...
То что я наблюдал:
Ехе он шмонает точно, голый метерпретер палит сразу.
Бинари с криптованным метером или бинарь криптованный гиперионом он не палит.
При запуске таких бинарей, дефендер все равно палит метерпретер на моменте его запуска. Значит он смотрит процессы и память.

По поводу использования метерпретера как трояна, видимо так и есть. Просто мне так понравилась идея криптовать шеллкод и юзать его как минитроян. А оказалось, что шеллкод сллжнее криптануть чем троянский бинарник.

В Venom юзал разные энкодеры шеллкодов, но это все бесполезно.
Сами rapid7 писали, что нужно генерить криптованый пэйлоад и выставлять вывод в Си код. Тогда получешь исходник криптованного шеллкода и к нему можно написать свой лоадер.
Но это слишком жестко для меня, хотя и круто.
Но не факт, что в момент раскриптовки Ав не спалит сам шеллкод сразу в момент запуска.

Походу решил проблему неожиданным способом, скомпилил реверсшелл на golang, в нем есть фича запуска меиерпретер и запуска шеллкодов в base64

yg140.servegame.com

Подскажите вектор атаки по Windows 10

На форуме был перевод статьи как AV детектят реверсшелл и какие приёмы используются чтоб это дело обойти. Вот эта? Windows Shellcoding x86 – функции вызова в Kernel32.dll – часть 2 [Перевод]
yg140.servegame.com yg140.servegame.com
 
За 0 Против
b0d сказал(а):
По поводу использования метерпретера как трояна, видимо так и есть. Просто мне так понравилась идея криптовать шеллкод и юзать его как минитроян. А оказалось, что шеллкод сллжнее криптануть чем троянский бинарник.
Нажмите, чтобы раскрыть...
хм. а почему бы не общаться посредством обычных http(s) запросов на сервер?
 
За 0 Против
swagcat228 сказал(а):
хм. а почему бы не общаться посредством обычных http(s) запросов на сервер?
Нажмите, чтобы раскрыть...
Проблема похоже не в сетевом взаимодействии, а в том, что сами вызовы системных функций палятся антивирусом.
 
За 0 Против
f22 сказал(а):
Проблема похоже не в сетевом взаимодействии, а в том, что сами вызовы системных функций палятся антивирусом.
Нажмите, чтобы раскрыть...
и как же поступить в этом случае? полиморфный крипт?
 
За 0 Против
Может помочь резидентный скрипт
 
За 0 Против
За 0 Против
swagcat228 сказал(а):
можно чуть подробнее
Нажмите, чтобы раскрыть...
Э. Таненбаум. Современные операционные системы 2 издание. Глава 9. страница 683. Книга старая, но полезная.
Если надо, могу попробовать прикрепить .pdf.
Еще попробуйте Э. Таненбаум. Компьютерные сети. 5 издание. Описание ARP, TCP, UDP, OSI, IPv4, DNS, Спутники - Iridium, Inmarsat. и все что надо для понимания сетей. IEEE 802.11 - все по порядку. Bluetooth и 5-G немного затрагиваются

Есть статья на этом ресурсе - там книги и в прочем есть ОЧЕНЬ полезные материалы.
yg140.servegame.com

Статья - Welcome to the club, buddy! Или как начать свой путь в ИБ?

С набиранием популярности тематики Информационной Безопасности (Дальше ИБ), да и IT в целом, с каждым годом все больше и больше людей хотят научиться, ну или же влиться в тематику. Вследствие чего, количество вопросов на всевозможных площадках, по типу: "а как?, а что?, а с чего начать?" растут...
yg140.servegame.com yg140.servegame.com
Мне это очень помогло в свое время
 
За 0 Против
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab

🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →

Популярный контент

🔴 Свежие CVE, 0-day и инциденты
То, о чём ChatGPT ещё не знает — обсуждаем в реальном времени
Threat Intel →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

HackerLab

Верх Низ
Назад