Статья PowerShell для хакера (часть VIII ) [Обфускация полезной нагрузки PowerShell Obfuscator]

Доброго времени суток колеги. Как вы все прекрасно знаете время не стоит на месте и много не опытных пользователей рано или поздно сливают наработки добрых опытных пользователей.По этому появляеться необходимость прятать сигнатуры своих на работотак от антивирусных компаний.Так сказать

Ссылка скрыта от гостей

. Сперва я конечно хотел писать что то свое, но так уж получилось что уже написано одним хорошим колегой такой инструментарий и придумывать велосипед не пришлось. Возможно в дальнейшем его можно будет просто модифицировать. Речь сегодня пойдет про PowerShell Obfuscator
Ну что же, давайте вместе на него посмотрим)
Первым делом ,как всегда качаем на виндоус машину архивчик)
https://github.com/danielbohannon/Invoke-Obfuscation

Затем готовим полезную нагрузку для PowerShell

Идем на виндоус машину и запускаем наш обфускатор:

список команд

powershell -exec bypass
Import-Module .\Invoke-Obfuscation.psd1
Invoke-Obfuscation

Затем знакомимся со списком опциями
HELP - окно справки
SHOW OPTIONS,SHOW,OPTIONS - показать необходимые опции для обфускации
CLEAR,CLS,CLEAR-HOST -- очистить єкран
EXEC,EXECUTE,TEST,RUN -- запустить обфусцированную команду локально
COPY,CLIP,CLIPBOARD -- скопировать обфусцированный текст в буфер обмена
OUT -- записать обфусцырованный код в файл
BACK,CD .. -- вернуться к предвидущему меню обфускатора
RESET -- сбросить все заданные параметры
QUIT,EXIT -- выйти из программы
HOME,MAIN -- вернуться в главное меню

Видим что в обфускатора есть 4 функции
TOKEN -- Обфускация токенов
STRING -- Обфусцировать команду для PowerShell используя свойства строки (REVERSE и т.д)
ENCODING -- Обфусцировать с помощью кодировок (HEX,BXOR,AES)
LAUNCHER -- Обфусцировать аргументы и запустить

(PS. Токен и Launcher пока не расматривал) Познакомимся пока с базой.
Смотрим командой show options опциональные параметры обфускатора:
Желтым подсвечует что один из этих параметров обезателен ( ScriptBlock или ScriptPath)
Я буду использовать параметр ScriptPath и обфусцировать целый готовый скрипт.

Дальше заходим в режим ENCODING,и смотрим какими кодировками мы можем обфусцировать. Я бы рекомендовал бы использовать AES или BXOR:

Дальше командой OUT мы сохраняем результат

Для красоты можно конвертнуть обфусцырованный файл в бинарный файл.Я делал это с помощью

Ссылка скрыта от гостей

Проверяем работоспособность)
Все работает)

 

[SooLFaa]

С возвращением в семью, а теперь не забудь написать Большому М.

 

[a113]

Спасибо, ~~DarkNode~~! Как всегда, отличная статья!
Имеется вопрос: кто-нибудь знает хорошие книги по PowerShell (можно даже на английском, немецком ). Хотелось бы изучить.

 

[<~DarkNode~>]

С возвращением в семью, а теперь не забудь написать Большому М.

Я еще не вернулся) На выходные приезжал )

 

[mardoksp]

А что за сборка kali у тебя в видео? Красиво все так оформлено) хочу себе на основную систему на ноуте накатить))

А музыка какая?)

 

[<~DarkNode~>]

А что за сборка kali у тебя в видео? Красиво все так оформлено) хочу себе на основную систему на ноуте накатить))

А музыка какая?)

Кали Линукс самая обычная. Просто немного под себя визуализацию изменил) Окконый менеджер i3wm + conky + compton в качестве композитного менеджера.Музыка дефолтная из ютуба,бесптлатная.
[doublepost=1492428885,1492428778][/doublepost]

Спасибо, ~~DarkNode~~! Как всегда, отличная статья!
Имеется вопрос: кто-нибудь знает хорошие книги по PowerShell (можно даже на английском, немецком ). Хотелось бы изучить.

Сульфа шарил тут на форуме курс от пентест академии по павершелл.

 

[mardoksp]

Кали Линукс самая обычная. Просто немного под себя визуализацию изменил) Окконый менеджер i3wm + conky + compton в качестве композитного менеджера.Музыка дефолтная из ютуба,бесптлатная.
[doublepost=1492428885,1492428778][/doublepost]
Сульфа шарил тут на форуме курс от пентест академии по павершелл.

супер темка, приятная, буду ставить, спс.
А музыка в плане найти, как называется, хочу себе в плейлист добавить и найти подобную)
[doublepost=1492494783][/doublepost]Хотя немного тупанул, искал музыку с этого видео)

 

[Hackaton192]

Есть варианты произвести обфускацию кода powershell для макроса?

 

[Elektrolife]

Вы используете самописный скрипт для генерации нагрузки ? Есть в открытом доступе ?

 

[Дедок]

Вы используете самописный скрипт для генерации нагрузки ? Есть в открытом доступе ?

с первых частей начни читать там и будут все ответы на твои вопросы.

 

[Mitistofel]

Не ну реально, что за "D-CAT"? )
Пробежался я по статьям от DarkNode по тематике "PowerShell", и что то про "D-CAT" не нашёл.
Если я не внимательно посмотрел, то дайте ссылку где эта инфа...
Или подскажите аналог "D-CAT"


Тут ошибка если что:
Не - Import-Module .\Invoke-Obfuscation.psd1
А - Import-Module .\Invoke-Obfuscation.ps1
У меня только так заработало...

 

[Mitistofel]

А всё, нашёл, просто по другому называется...

Кто знает в чём причина такого поведения? А именно - когда в "msfconcole" врубаю "multi/handler" "windows/meterpreter/reverse_tcp", то та машина на которой всё это запустил перестаёт пинговать другие машины, и другие машины тоже не могут её пинговать. Хотя перед запуском всё нормально пинговалось... Порт ставил 4444...

 

[<~DarkNode~>]

Не ну реально, что за "D-CAT"? )

Да эт я для себя писал ,DarkNode-Client-Attacking-Toolkit ))))
Я его писал по материалам своиих статей) Но нигде не шарил пока)

 

[QZ131]

Тут ошибка если что:
Не - Import-Module .\Invoke-Obfuscation.psd1
А - Import-Module .\Invoke-Obfuscation.ps1
У меня только так заработало...

Это не ошибка. PSD1 – файл данных Windows PowerShell, является файлом манифеста. С помощью этого файла происходит подключение и инициализация всех необходимых модулей. Так же вариант с Import-Module .\Invoke-Obfuscation.psd1 указан в официальном репозитории danielbohannon/Invoke-Obfuscation

 

[Underwood]

Не - Import-Module .\Invoke-Obfuscation.psd1
А - Import-Module .\Invoke-Obfuscation.ps1

Можно сделать проще, создать профиль для пользователя PowerShell в $Home\Documents\profile.ps1 для настройки окружения и один раз импортировать туда необходимые модули, можно также кастомизировать внешний вид консоли, задать алиасы и многое другое. А эта ошибка скорее всего вызвана ограничением политики выполнения скриптов:

Get-Execution Policy
Set-ExecutionPolicy Remotesigned

 

[Mitistofel]

Да эт я для себя писал ,DarkNode-Client-Attacking-Toolkit ))))
Я его писал по материалам своиих статей) Но нигде не шарил пока)

Я подозревал )

Это не ошибка. PSD1 – файл данных Windows PowerShell, является файлом манифеста. С помощью этого файла происходит подключение и инициализация всех необходимых модулей. Так же вариант с Import-Module .\Invoke-Obfuscation.psd1 указан в официальном репозитории danielbohannon/Invoke-Obfuscation

У меня при вводе "Import-Module .\Invoke-Obfuscation.psd1" стабильно ошибку выдаёт, а при вводе "Import-Module .\Invoke-Obfuscation.ps1" всё запускается и работает.
Вообще мне если честно по большому счёту всё равно что писать ".psd1 или .ps1", главное что бы программа стартовала. А это про ошибку я написал больше для того, что бы другие у кого ошибка при вводе ".psd1" будет, не тратили время как я, а просто попробовали бы ".ps1"

Можно сделать проще, создать профиль для пользователя PowerShell в $Home\Documents\profile.ps1 для настройки окружения и один раз импортировать туда необходимые модули, можно также кастомизировать внешний вид консоли, задать алиасы и многое другое. А эта ошибка скорее всего вызвана ограничением политики выполнения скриптов:

Теперь хоть по не многу начало проясняться, от чего ошибка вылазила, спасибо )

Актуально кстате - "Кто знает в чём причина такого поведения? А именно - когда в "msfconcole" врубаю "multi/handler" "windows/meterpreter/reverse_tcp", то та машина на которой всё это запустил перестаёт пинговать другие машины, и другие машины тоже не могут её пинговать. Хотя перед запуском всё нормально пинговалось... Порт ставил 4444..."

 

[OneDollar]

Я подозревал )


У меня при вводе "Import-Module .\Invoke-Obfuscation.psd1" стабильно ошибку выдаёт, а при вводе "Import-Module .\Invoke-Obfuscation.ps1" всё запускается и работает.
Вообще мне если честно по большому счёту всё равно что писать ".psd1 или .ps1", главное что бы программа стартовала. А это про ошибку я написал больше для того, что бы другие у кого ошибка при вводе ".psd1" будет, не тратили время как я, а просто попробовали бы ".ps1"


Теперь хоть по не многу начало проясняться, от чего ошибка вылазила, спасибо )

Актуально кстате - "Кто знает в чём причина такого поведения? А именно - когда в "msfconcole" врубаю "multi/handler" "windows/meterpreter/reverse_tcp", то та машина на которой всё это запустил перестаёт пинговать другие машины, и другие машины тоже не могут её пинговать. Хотя перед запуском всё нормально пинговалось... Порт ставил 4444..."

переустнови метасп..) порт другой.. попробуй reverse_https

 

[Mitistofel]

переустнови метасп..) порт другой.. попробуй reverse_https

Спасибо, попробую...

 

[jonni_vu]

При создании exe файла через msfvenom получается файл размером 70кбайта
используя функцию ENCODING во всех видах кодировки программа выдает:

WARNING: This command exceeds the cmd.exe maximum length of 8190.
Its length is 72104 characters.


Я использую параметр ScriptPath

эта ошибка?

 

[swagcat228]

Посмотреть вложение 9765
Доброго времени суток колеги. Как вы все прекрасно знаете время не стоит на месте и много не опытных пользователей рано или поздно сливают наработки добрых опытных пользователей.По этому появляеться необходимость прятать сигнатуры своих на работотак от антивирусных компаний.Так сказать

Ссылка скрыта от гостей

. Сперва я конечно хотел писать что то свое, но так уж получилось что уже написано одним хорошим колегой такой инструментарий и придумывать велосипед не пришлось. Возможно в дальнейшем его можно будет просто модифицировать. Речь сегодня пойдет про PowerShell Obfuscator
Ну что же, давайте вместе на него посмотрим)
Первым делом ,как всегда качаем на виндоус машину архивчик)
danielbohannon/Invoke-Obfuscation
Посмотреть вложение 9764

Затем готовим полезную нагрузку для PowerShell
Посмотреть вложение 9766

Идем на виндоус машину и запускаем наш обфускатор:

список команд

powershell -exec bypass
Import-Module .\Invoke-Obfuscation.psd1
Invoke-Obfuscation

Посмотреть вложение 9776
Затем знакомимся со списком опциями
HELP - окно справки
SHOW OPTIONS,SHOW,OPTIONS - показать необходимые опции для обфускации
CLEAR,CLS,CLEAR-HOST -- очистить єкран
EXEC,EXECUTE,TEST,RUN -- запустить обфусцированную команду локально
COPY,CLIP,CLIPBOARD -- скопировать обфусцированный текст в буфер обмена
OUT -- записать обфусцырованный код в файл
BACK,CD .. -- вернуться к предвидущему меню обфускатора
RESET -- сбросить все заданные параметры
QUIT,EXIT -- выйти из программы
HOME,MAIN -- вернуться в главное меню

Видим что в обфускатора есть 4 функции
TOKEN -- Обфускация токенов
STRING -- Обфусцировать команду для PowerShell используя свойства строки (REVERSE и т.д)
ENCODING -- Обфусцировать с помощью кодировок (HEX,BXOR,AES)
LAUNCHER -- Обфусцировать аргументы и запустить

(PS. Токен и Launcher пока не расматривал) Познакомимся пока с базой.
Смотрим командой show options опциональные параметры обфускатора:
Желтым подсвечует что один из этих параметров обезателен ( ScriptBlock или ScriptPath)
Я буду использовать параметр ScriptPath и обфусцировать целый готовый скрипт.


Посмотреть вложение 9767 Посмотреть вложение 9768

Дальше заходим в режим ENCODING,и смотрим какими кодировками мы можем обфусцировать. Я бы рекомендовал бы использовать AES или BXOR:Посмотреть вложение 9769 Посмотреть вложение 9770


Дальше командой OUT мы сохраняем результатПосмотреть вложение 9771
Для красоты можно конвертнуть обфусцырованный файл в бинарный файл.Я делал это с помощью

Ссылка скрыта от гостей

Посмотреть вложение 9772 Посмотреть вложение 9773 Посмотреть вложение 9774
Проверяем работоспособность)
Все работает)


Посмотреть вложение 9775

Крутая статья. Спасибо.

p.s. кто куда льет PE для проверки на детект?