Пытался сгенерировать пейлоады с помощью Veil и Phantom-Evasion, в итоге все палятся авастом, нодом либо дефендером. Как добиться чистоты хотя бы для этих антивирусов?
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Палятся пейлоады Metasploit
- Автор темы Ranzel
- Дата начала
Там есть сорцы лоадера и артифакта, можно переписать. АВ часто матерятся на "_ReflectiveLoader@4" надо переписать reflective loader
Есть варианты другие.
1. Использовать stageless ( Metasploit по моему позволяет но точно не скажу не пользовал его давненько ) (помогает в некоторых случаях)
2. Написать небольшую оболочку, использовать сгенеренный Metasploit-ом шеллкод я не рекомендую, лучше таскать с собой dll stageless и подгружать ее.
3. Засунуть это все в .net assembly и потом sct но надо позаботится об обходе AMSI ( или полностью свой загрузчик сделать )
4. Попробовать из PRO версии пользовать генератор бикона но там по моему тоже с нодом глухо будет.
5. Пользовать 64 версию, тоже иногда помогает ( инфа на 2015 год, щас не знаю)
Есть много других вариантов но это игра в кошки мышки, лучше свой загрузчик сделать и хоть на какое-то время быть вне поля зрения.
Есть варианты другие.
1. Использовать stageless ( Metasploit по моему позволяет но точно не скажу не пользовал его давненько ) (помогает в некоторых случаях)
2. Написать небольшую оболочку, использовать сгенеренный Metasploit-ом шеллкод я не рекомендую, лучше таскать с собой dll stageless и подгружать ее.
3. Засунуть это все в .net assembly и потом sct но надо позаботится об обходе AMSI ( или полностью свой загрузчик сделать )
4. Попробовать из PRO версии пользовать генератор бикона но там по моему тоже с нодом глухо будет.
5. Пользовать 64 версию, тоже иногда помогает ( инфа на 2015 год, щас не знаю)
Есть много других вариантов но это игра в кошки мышки, лучше свой загрузчик сделать и хоть на какое-то время быть вне поля зрения.
в каком файл-формате ты планируешь конечный пэйлоад (PE/PSH/VBS/DOC ...) ?
используй врапперы (возмохзно с доп функционалом обфускации байткод нагрузки)
кпм -
void *exec = VirtualAlloc(0, sizeof c, MEM_COMMIT, PAGE_EXECUTE_READWRITE); <--- конечно громко но места поэкспериментировать много
ref: https://github.com/MindaugasBernatavicius/Shellcode
доп
http://www.pktmonky.com/slae/encoder-shellcode/
P.S.
кпм -
Код:
#include <windows.h>
#include <iostream>
int main(int argc, char **argv) {
char b[] = {/* your XORd with key of 'x' shellcode goes here i.e. 0x4C,0x4F, 0x4C */};
char c[sizeof b];
for (int i = 0; i < sizeof b; i++) {c[i] = b[i] ^ 'x';}
void *exec = VirtualAlloc(0, sizeof c, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
memcpy(exec, c, sizeof c);
((void(*)())exec)();
}void *exec = VirtualAlloc(0, sizeof c, MEM_COMMIT, PAGE_EXECUTE_READWRITE); <--- конечно громко но места поэкспериментировать много
ref: https://github.com/MindaugasBernatavicius/Shellcode
доп
http://www.pktmonky.com/slae/encoder-shellcode/
P.S.
я правильно понял, палятся при запуске ?!
Там ещё засада может быть, что сработает FW и IDS. Когда будет соединение его рубанут.
смотря о какой стадии транзита мы говорим - детект при данном раскладе не обязателен тем более если соединение осуществляется через SSL/TLS
опять же "что ,куда, как часто" итп все имеет значение
мы обсуждаем детект при старте, если не ошибаюсь
Попробуйте сделать .net wrapper - там достаточно много свобод можно сделать
Отказаться от использования метасплоита будет самым верным вариантом но добавит много сложностей.
Касаемо ids и fw: используйте фронт сервера и CDN от того же ms, если есть возможность то Akamai будет лучшим выбором, естественно отстук должен быть редким и с рандомом по времени.
По поводу метера: можно покопаться и почистить код, можно делать обертки, но подумайте стоит ли оно того, реализация несложного импланта с роутами через ipc over smb внутри сети задача выполнимая за пару месяцев ( с тестами и c&c частью ) а приносить пользу оно гораздо дольше будет, а учитывая модульность самого метасплоита то вы сможете использовать нужные вам части метасплоита.
P.S https://github.com/rapid7/metasploit-payloads/tree/master/c/meterpreter можно почистить, да и если выпилить оттуда ReflectiveDllInjection вместе со всем не нужным функционалом думаю такая чистка будет жить подольше, хотя дело неблагодарное. ( Сам такими извращениями занимался но не с метасплоитом, свое написать оказалось менее геморным )
Касаемо ids и fw: используйте фронт сервера и CDN от того же ms, если есть возможность то Akamai будет лучшим выбором, естественно отстук должен быть редким и с рандомом по времени.
По поводу метера: можно покопаться и почистить код, можно делать обертки, но подумайте стоит ли оно того, реализация несложного импланта с роутами через ipc over smb внутри сети задача выполнимая за пару месяцев ( с тестами и c&c частью ) а приносить пользу оно гораздо дольше будет, а учитывая модульность самого метасплоита то вы сможете использовать нужные вам части метасплоита.
P.S https://github.com/rapid7/metasploit-payloads/tree/master/c/meterpreter можно почистить, да и если выпилить оттуда ReflectiveDllInjection вместе со всем не нужным функционалом думаю такая чистка будет жить подольше, хотя дело неблагодарное. ( Сам такими извращениями занимался но не с метасплоитом, свое написать оказалось менее геморным )
Юзай Powershell Empire
А работают реверс шелл ссылки метасплоита в андроидах через мессенджеры?
так он тоже палится как ёлка или ты знаешь как его чистить?
unicorn
есть пайлоады который на скане показывают 2-3 детекта
есть пайлоады который на скане показывают 2-3 детекта
Возможно ли полностью избежать детекта антивирусов? И что можно сделать с ссылкой чтоб переслать, в каком виде?
в большинстве своей если тебе удаться спрятать от антивиря в скантайме пайлоад, то в рантайме с огромнейшей вероятностью будет палево. сетевое общение пайлоада и метасплоита не видят только ленивые
про ids молчу
Реально ума не приложу кому в наши дни интересен скантайм детект...