• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

Крипт шеллкода meterpreter

b0d

b0d

Green Team
02.11.2019
35
64
BIT
0
Пытаюсь обойти дефендер.

Сделал билд по этой статье, выставил флаги и пожал упхом

Ссылка скрыта от гостей

Дефендер сам ехе не палит, но после запуска и коннекта на хендлер метасплоита дефендер просыпается и убивает процесс.
Орет что обнаружен метерпретер.
Получается, что реагирует он именно на шеллкод.
Вопрос, как бы его так криптануть чтобы дефендер успокоился.


Нашел как парни криптуют шеллкод, но ведь при раскриптовке это будет тот же самый шеллкод? Или такой криптовки достаточно?

Ссылка скрыта от гостей

У меня есть подозрение, что раз мой ехешник уже не палиться до запуска, то и нет смысла криптовать шеллкод, запал происходит во время его исполнения, а когла шеллкод исполняется он уже расшифрован.

Типа лишний маневр.

Вот здесь ребята с rapid7 про это пишут, мол с runtime и есть основная проблема.

Ссылка скрыта от гостей

Вопрос в том куда дальше копать?
Если я заморочусь на крипт шеллкода, то придется еще и декрипт прикрутить и возможно я получу то что уже имею, запал шеллкода в памяти.
Как можно видоизменить его в памяти?

Накопал hyperion, еще не пробовал, но это похоже на runtime криптор.

Может нужно вообще в другоую сторону копать?

Я рассуждаю так, что если запал идет самого шеллкода, то нужно лиьбо его видоизменить, либо обфуцировать, либо както накрыть.

Видоизменить шеллкод это слишком круто, подобрать иной можно, но я хочу именно meterpreter.
Остаеться только крипт рантайма и энкодинг шеллкода.
Боюсь, что энкодинг, опять же, не даст результата на уровне рантайма.

Все это происходит во время моего пентеста Подскажите вектор атаки по Windows 10
 
Сортировать по дате Сортировать по голосам
T

Tony

Green Team
21.09.2019
87
14
BIT
0
А нагрузка какая генерируется? staged или stageless? Возможно твой пейлоад палится во время подгрузки модулей метерпретер с листенера.
Ссылка скрыта от гостей
 
За 0 Против
s unity

s unity

Green Team
18.09.2019
207
26
BIT
0
b0d сказал(а):
Пытаюсь обойти дефендер
Нажмите, чтобы раскрыть...
это, я так понимаю, стандартный защитник винды? так он тупой, как столб, тупо стоит. он не шманает код экзешника, он тупо блокирует неизвестные движения протоколов по портам. разреши эти движения по порту, и он не вдуплит что происходит. возможно попробовать какие то нестандартные порты. и в общем, не стоит пользоваться метерпретером как трояном. его нужно юзать внутри уязвимостей, как дополнительную нагрузку.
но чтоб не пустословить, есть некоторые инструменты, которые криптуют шеллкоды автоматом, и вроде неплохо, но есть куча своих недочетов, например нужны всякие компиляторы.
Ссылка скрыта от гостей

веном
но это все гиблое дело, если ломать единичную цель, то это совсем не эффективно. если ломать множественные цели, то это тоже не эффективно. делай выводы
 
За 0 Против
A

AlCat

Active member
30.10.2018
38
0
BIT
2
Когда дефендер убивает процесс на кали это выглядет так же?
codeby.net

Не поднимается сессия meterpreter

В метасплойте multi/handler и payload настроены верно. Сессия прилетает, а это значит что сам payload не палится антивирусом целевой системы. Но сессия не поднимается ...и на этом все останавливается. Видимо детектится и блокируется канал пересылки самого стейджера антивирусом или сетевым...
codeby.net codeby.net
 
За 0 Против
b0d

b0d

Green Team
02.11.2019
35
64
BIT
0
AlCat сказал(а):
Когда дефендер убивает процесс на кали это выглядет так же?
codeby.net

Не поднимается сессия meterpreter

В метасплойте multi/handler и payload настроены верно. Сессия прилетает, а это значит что сам payload не палится антивирусом целевой системы. Но сессия не поднимается ...и на этом все останавливается. Видимо детектится и блокируется канал пересылки самого стейджера антивирусом или сетевым...
codeby.net codeby.net
Нажмите, чтобы раскрыть...
Не, там идет коннект на листенер и потом сразу оьрыв и метасплоит пишет чтл сессия died.
Это все происходит одновременно с алертом дефендера на машине гдетзапущен метер.

duolinfurga сказал(а):
Veil evasion пробовал?
Нажмите, чтобы раскрыть...
Да, скомпили все виды пэйлоадов под реверс. Везде запал.

s unity сказал(а):
это, я так понимаю, стандартный защитник винды? так он тупой, как столб, тупо стоит. он не шманает код экзешника, он тупо блокирует неизвестные движения протоколов по портам. разреши эти движения по порту, и он не вдуплит что происходит. возможно попробовать какие то нестандартные порты. и в общем, не стоит пользоваться метерпретером как трояном. его нужно юзать внутри уязвимостей, как дополнительную нагрузку.
но чтоб не пустословить, есть некоторые инструменты, которые криптуют шеллкоды автоматом, и вроде неплохо, но есть куча своих недочетов, например нужны всякие компиляторы.
Ссылка скрыта от гостей

веном
но это все гиблое дело, если ломать единичную цель, то это совсем не эффективно. если ломать множественные цели, то это тоже не эффективно. делай выводы
Нажмите, чтобы раскрыть...
То что я наблюдал:
Ехе он шмонает точно, голый метерпретер палит сразу.
Бинари с криптованным метером или бинарь криптованный гиперионом он не палит.
При запуске таких бинарей, дефендер все равно палит метерпретер на моменте его запуска. Значит он смотрит процессы и память.

По поводу использования метерпретера как трояна, видимо так и есть. Просто мне так понравилась идея криптовать шеллкод и юзать его как минитроян. А оказалось, что шеллкод сллжнее криптануть чем троянский бинарник.

В Venom юзал разные энкодеры шеллкодов, но это все бесполезно.
Сами rapid7 писали, что нужно генерить криптованый пэйлоад и выставлять вывод в Си код. Тогда получешь исходник криптованного шеллкода и к нему можно написать свой лоадер.
Но это слишком жестко для меня, хотя и круто.
Но не факт, что в момент раскриптовки Ав не спалит сам шеллкод сразу в момент запуска.

Походу решил проблему неожиданным способом, скомпилил реверсшелл на golang, в нем есть фича запуска меиерпретер и запуска шеллкодов в base64

codeby.net

Подскажите вектор атаки по Windows 10

На форуме был перевод статьи как AV детектят реверсшелл и какие приёмы используются чтоб это дело обойти. Вот эта? Windows Shellcoding x86 – функции вызова в Kernel32.dll – часть 2 [Перевод]
codeby.net codeby.net
 
За 0 Против
swagcat228

swagcat228

Заблокирован
19.12.2019
341
86
BIT
0
b0d сказал(а):
По поводу использования метерпретера как трояна, видимо так и есть. Просто мне так понравилась идея криптовать шеллкод и юзать его как минитроян. А оказалось, что шеллкод сллжнее криптануть чем троянский бинарник.
Нажмите, чтобы раскрыть...
хм. а почему бы не общаться посредством обычных http(s) запросов на сервер?
 
За 0 Против
f22

f22

Codeby Academy
Gold Team
05.05.2019
1 928
226
BIT
1 697
swagcat228 сказал(а):
хм. а почему бы не общаться посредством обычных http(s) запросов на сервер?
Нажмите, чтобы раскрыть...
Проблема похоже не в сетевом взаимодействии, а в том, что сами вызовы системных функций палятся антивирусом.
 
За 0 Против
micerec

micerec

Green Team
29.11.2019
38
1
BIT
0
swagcat228 сказал(а):
можно чуть подробнее
Нажмите, чтобы раскрыть...
Э. Таненбаум. Современные операционные системы 2 издание. Глава 9. страница 683. Книга старая, но полезная.
Если надо, могу попробовать прикрепить .pdf.
Еще попробуйте Э. Таненбаум. Компьютерные сети. 5 издание. Описание ARP, TCP, UDP, OSI, IPv4, DNS, Спутники - Iridium, Inmarsat. и все что надо для понимания сетей. IEEE 802.11 - все по порядку. Bluetooth и 5-G немного затрагиваются

Есть статья на этом ресурсе - там книги и в прочем есть ОЧЕНЬ полезные материалы.
codeby.net

Статья - Welcome to the club, buddy! Или как начать свой путь в ИБ?

С набиранием популярности тематики Информационной Безопасности (Дальше ИБ), да и IT в целом, с каждым годом все больше и больше людей хотят научиться, ну или же влиться в тематику. Вследствие чего, количество вопросов на всевозможных площадках, по типу: "а как?, а что?, а с чего начать?" растут...
codeby.net codeby.net
Мне это очень помогло в свое время
 
За 0 Против
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ