Статья SpookFlare-инструмент генерации файла для обхода AV

Здравствуйте,Уважаемые Форумчане,Друзья и Дорогие Читатели портала Codeby.
Очередной обзор будет посвящён несколько необычному инструменту.

Всем,кто связан так,или иначе, с IT-безопасностью,будет полезно знать о его существовании.
Особенность SpookFlare на текущий момент заключается в обходе всех существующих AV.
По причине свойств,актуальность иструмента амбициозно нацелена на длительный период времени.

Halil Dalabasmaz,автор SpookFlare,совместил обход систем безопасности с получением Meterpreter-сессии.
Учтены контрмеры на основе сигнатур,поведенческом обнаружении и репутации.
В общем ,сведены к минимуму обнаружение работы SpookFlare как на стороне клиента,так и в сети.

SpookFlare - генератор загрузчика для этапов Meterpreter Reverse HTTP и HTTPS.
Он меет пользовательский encrypter с функциями обфускации строк и компиляции кода во время выполнения.

В связи с этим,обеспечивается сложность разработки подписи в определенной строке для идентификации вредоносного кода.

SpookFlare использует обфускацию строки. Поэтому ,каждая генерируемая полезная нагрузка будет уникальной, насколько это возможно.

К тому же, компилируется фактический код во время выполнения.Сам процесс носит скрытый характер.
Так достигнуто решение необнаружения подозрительных системных вызовов .

Каждая генерируемая полезная нагрузка SpookFlare содержит собственный код загрузчика.

Очередная "крутость" SpookFlare ,состоит в шифровании исходного кода загрузчика с использованием класса RijnDaelManaged,и при его исполнении расшифровывается код загрузчика после того, как тот передан компилятору.

Обход контрмер сетевого уровня реализован путём добавления случайных байтов в начало приложения.

Metasploit придётся немного поднастроить для этого:

# leafpad /usr/share/metasploit-framework/lib/msf/core/payload/windows/x64/meterpreter_loader.rb

У кого Metasploit не настроен,то в открывшемся файле надо расскоментировать строки 6 ,125 и 126
И наоборот,закомментировать 124-ю (# dll).В 125-й можно теперь менять числовые значения.
После этого, можно использовать библиотеку securerandom на языке Ruby.

Далее, определяется создание фактического этапа с генерируемыми случайными байтами,
удаляются байты, добавленные с начала этапа, и запускаются остальные.

Функция Array.Copy намеренно используется в загрузчиках SpookFlare из-за быстроты по сравнению с Buffer.BlockCopy

Откуда можно скачать инструмент:

https://github.com/hlldz/SpookFlare

Автор проекта, поста,Администрация ресурса, в связи со спецификой рассматриваемого инструмента,
предупреждают об ответственности и соблюдении этики.Вся информация исключительно для ознакомления и изучения IT-безопасности.
Категорически запрещается применение инструмента в незаконных целях.

Нам также для работы с ним потребуется программа Visual Studio.
Обработав и запустив файл Program.cs , создастся в дальнейшем приложение для запуска SpookFlare.



Команды,которые предлагает стартующий SpookFlare

help- знакомство с опциями.
list - начало работы формирования payload
generate - генерация кода

Затем,запрашивается протокол http или https ,Ip - адрес,порт,архитектура целевой системы кол-во числовых символов.

Если нет желания запутывать как следует системы защиты,то можно в самом конце указать 0
Собственно,файл .exe ,будет приготовлен в папке Debug ,и SpookFlare укажет полный путь до него.

Опасность такого файла ещё и в том ,что расширение он совсем не желает демонстрировать.
Его можно как угодно переименовать,в свойствах ему будут даны атрибуты для чтения и довольно-таки ,неплохие права.

При его запуске,кроме секундного срабатывания оболочки,пользователь больше ничего рискует не увидеть.

Дело за Metasploit с атакующей машины Linux :



В авторском видео,при проверке на детект файла AV,я не увидел (может плохо смотрел) ещё один известный Av.



Восполняю пробел,хотя итог был предсказуемым.Будьте пожалуйста осторожны как с этим инструментом,так и со скачиванием файлов из сети.
Подробности и детали по данному инструменту можно увидеть здесь:

Ссылка скрыта от гостей

На этом обзор завершаю,всех искренне благодарю за потраченное время на чтение,внимание и до новых встреч на лучшем портале.

P/S Выражаю огромную благодарность Александру Кочемировскому,Форумчанину Codeby,за предоставленную бесценную литературу и постоянные репосты материалов нашего форума.

 

[OneDollar]

Но не все так просто под Луной.
Да вирус не палится антивирями, пока его не запустишь.
А вот когда запустил, то

Ссылка скрыта от гостей

Но если еще одно НО, если на машине жертвы не стоит NET Framework, то

Ссылка скрыта от гостей

А так если антивирь отключить то сессия идет нормально.

Ссылка скрыта от гостей

Кстати забыл написать. Что состряпал как х86, а запустил на х64. И ничего пашет.
Без всяких исправлений и танцев с бубном на Кобальт Страйке идет сразу.
[doublepost=1511467517,1511466681][/doublepost]
Зачем его в винду ставить?

У меня так же с х64 беда, а создал х86 и все как по маслу.. Завтра утром проснусь и уже штук 15 будут видеть( Шо-то долго он не протянул как полагалось..

 

[remez]

У меня так же с х64 беда, а создал х86 и все как по маслу..

А как сработал после запуска твой антивирь или нет?

 

[OneDollar]

А как сработал после запуска твой антивирь или нет?

У меня на тестируемой машине все отключено .. Извини, не подскажу) Выше посмотри скрины, там др веб обнаружил, а на дистрибьюте показывает что файл чист. Скорее всего базы еще не обновились на сайте, говорю пару дней подождать надо и хана.. Поэтому такие фичи выкладывать на всеобщее ну не фонтан. Долго не протянут. Они ж первым делом на ВТ льют все..

 

[nikos]

Спасибо всем за ответы просто поставил SpookFlare в windows понятно что могу сгенерировать полезную нагрузку в windows а сессию ловить в kali

 

[remez]

После своего теста понял, что Veil лучше. Он при запуске не палится, да и так плохо заметен для антивирей.
Ну скоро услышите вой возмущенных детей-школьников! Почему сессия не приходит на метасплоит?

 

[nikos]

После своего теста понял, что Veil лучше. Он при запуске не палится, да и так плохо заметен для антивирей.
Ну скоро услышите вой возмущенных детей-школьников! Почему сессия не приходит на метасплоит?

Такие инструменты надо распространять среди ограниченного круга людей а то через 1-2 дня эта туза будет палится интитварями и сессия конечно прилетать не будет

 

[OneDollar]

После своего теста понял, что Veil лучше. Он при запуске не палится, да и так плохо заметен для антивирей.
Ну скоро услышите вой возмущенных детей-школьников! Почему сессия не приходит на метасплоит?

Каким способом генеришь нагрузку в веил ? И какие результаты обнаружения ?

 

[remez]

Такие инструменты надо распространять среди ограниченного круга людей а то через 1-2 дня эта туза будет палится интитварями и сессия конечно прилетать не будет

Да не в этом деле. Вирус же не палится антивирями, значит криптуется нормально. Но при пуске антивирь срабатывает, тут какая-то недоработка в этой тулзе..

 

[OneDollar]

Мне это напоминает ситуацию с PE подписями..

 

[remez]

Каким способом генеришь нагрузку в веил ? И какие результаты обнаружения ?

вот результат

Ссылка скрыта от гостей

[doublepost=1511469796,1511469672][/doublepost]

Мне это напоминает ситуацию с PE подписями..

Там реально сработок меньше.

 

[nikos]

Да не в этом деле. Вирус же не палится антивирями, значит криптуется нормально. Но при пуске антивирь срабатывает, тут какая-то недоработка в этой тулзе..

Сори не совсем понял тебя

 

[remez]

Сори не совсем понял тебя

Я тебе не смогу обьяснить. Лучше спроси SoolFaa, он обьяснит.

 

[nikos]

Я тебе не смогу обьяснить. Лучше спроси SoolFaa, он обьяснит.

Чувак я имею виду по поводу моего поста я его написал не правильно так как тебя не правильно понял.
И да при запуске нагрузки антивирус палит её и сессия не прилетает

 

[remez]

Чувак я имею виду по поводу моего поста я его написал не правильно так как тебя не правильно понял.
И да при запуске нагрузки антивирус палит её и сессия не прилетает

Обьясняю как могу. Когда-то я тоже пытался упаковать вирус в стаб IExpress. Результат был аналогичный. При проверке все чисто, при запуске антивирь срабатывает.
Здесь видимо тоже стоит стаб, похожий на IExpress и при инсталляции вируса его тут же видит антивирь. А сам вирус видимо давным давно уже палился антивирями.
Короче говоря программулина смахивает на тот же самый виндовый инсталлятор IExpress. Тулза не для меня.
ИМХО. А ТС не мешало бы проверить тулзу , как говорится "от и до", до публикации.

 

[Max40]

На сайте разработчика удобно установщик скачать,там же и дополнения предложено будет установить.Останется только Net.Core добавить.
Подскажи пожалуйста - где это на сайте можно скачать уже готовый ?

 

[Vertigo]

Парни,я только за здравую критику.Постараюсь ответить многим на замечания.Без обид,ни в коем случае ,никого задеть не имею желания.
1) По-поводу проверки "от и до". Проверил насколько смог.Как себе это можно представить ? Запилить на тестовую машину все продукты антивирусные с пробными версиями? От силы ставлю всегда 2-3 таких продукта. Самой тулзе чуть больше недели по срокам появления на свет,смысла не вижу тестировать на массовых платформах.

2) По поводу ,что где-то spookflare не доработан. Когда устанавливается тестовая ОС Windows,то лучше приблизить максимально к рабочей (потому что при приобретении на ОС всё это установлено в обязательном порядке).Конечно не ожидал,что пост может превратиться в обсуждение установки Visual studio. Net core - обязательный компонент разработки приложений.Без него и не будет нормальной генерации файла.

Отсутствие network framework..Без него Windows не запустит корректно ни одного приложения и не распознает языки.Входит в обязательный пакет (лицензионный).Причём,предыдущие версии NF не удаляются для обеспечения совместимости с устаревшими приложениями. Если что-то будете тестить вредоносное для игр,то о присутствии Direct X тоже надо будет позаботиться на тестовой ОС.

3) Что касается слива. Такими темпами , срок жизни инструмента с его методом рискует быть очень коротким.Это начнётся,когда лаборатории проработают все варианты числовых комбинаций. Сам не верю в платформу,где присутствуют представители продуктов антивирусных лабораторий ,и чтобы им, в условиях мировой конкуренции не посупали данные. На каких же условиях живут такие площадки,кем спонсируются? Это похоже на утопическую идею: вот есть к примеру уголок планеты,где собраны представители всех правоохранительных органов,куда может приехать любой гражданин Земли ,покаяться в поступке и ,якобы ему при возвращении в свою страну,не надо будет опасаться осуждения,зато душа чиста ,как говорится.))

Лаборатории работают и хорошо знают своё ремесло.Это правильно,на кону не только их качество продуктов,но и безопасность.
[doublepost=1511505178,1511504243][/doublepost]

Ссылка скрыта от гостей

Ссылка скрыта от гостей

Не забудьте после установки Visual studio добавить дополнение к C#

Ссылка скрыта от гостей

Дополнения можно добавлять (не обязательно скачивать) прямо из интерфейса программы.

 

[remez]

Парни,я только за здравую критику.Постараюсь ответить многим на замечания.Без обид,ни в коем случае ,никого задеть не имею желания.
1) По-поводу проверки "от и до". Проверил насколько смог.Как себе это можно представить ? Запилить на тестовую машину все продукты антивирусные с пробными версиями? От силы ставлю всегда 2-3 таких продукта. Самой тулзе чуть больше недели по срокам появления на свет,смысла не вижу тестировать на массовых платформах.

Я не про это. Просто ты проверил готовый вирус на доктор Вебе, но запуск с тем же антивирусом не проверил.Ты заметил, что на скрине у меня ловит при запуске тоже доктор Веб?
У меня тоже был как-то аналогичный промах с упаковщиком.Я упаковал, проверил на антивире, но не запустил. А потом оказалось, что антивирь при распаковке его в лет ловит.
ИМХО. Просто эта тулза похожа на IExpress, почти те же функции сокрытия стаба.С разницей, что не надо устанавливать ничего дополнительного и IExpress стоит по умолчанию в винде.
Грубо говоря берешь готовый файл из метасполита засовываешь его в IExpress и на выходе получаешь файлик, который почти не палится антивирями, но при распаковке антивирь сразу срабатывает.
ТС конечно молодец, что нарыл такую тулзу. Это будет уроком для многих - проверяй на практике. Я сам сделал вывод после своего промаха и теперь проверяю все полностью сначала на тестовой машине

 

[Vertigo]

Просто ты проверил готовый вирус на доктор Вебе, но запуск с тем же антивирусом не проверил.Ты заметил, что на скрине у меня ловит при запуске тоже доктор Веб?

На тестовой машине ,антивирус и был у меня установлен (всегда так делаю).Конечно запустил,и на момент теста,всё прошло гладко.Максимум,что мог сделать антивирус-это спросить разрешения на запуск ,но ничего не помещая в карантин и не определяя.И это когда настройки его не дефолтные,а уже для опытных пользователей. В его настройках можно чего только не запретить на запуск,поэтому всегда к этому антивирю отношусь с уважением.В таком именно случае,в окошке можно увидеть запрос без подписи от хоста с реверсным IP-шником и протоколом.Это тревожный звонок ,но многие могут не обратить внимание на это.Повторюсь,что настройки такие для продвинутых.(в ином случае,может вообще никакой реакции не проявить).Сессию не стал заскринивать просто.
А с общими замечаниями согласен и благодарю за ценные комментарии.

 

[remez]

Кстати, когда первый раз проверял и вместо 0 поставил 2. Не один антивирь не пикнул, а на ссылке на следующий день уже опять Авира палит. Посмотрите что на скрине и что по ссылке.Так что ТС видимо когда ты тестировал доктор Веб не палил, а сейчас уже палит запуск.Так что тема считайте сгорела.
Тестировать еще на каком нибудь антивире больше не вижу смысла и так все понятно.
Статья в любом случае полезная, в ней юзер узнает что стаб, "скрывает" вирус при проверке, но при инсталяции вирус один черт будет виден.

 

[Vertigo]

Кстати, когда первый раз проверял и вместо 0 поставил 2.
Статья в любом случае полезная, в ней юзер узнает что стаб, "скрывает" вирус при проверке, но при инсталяции вирус один черт будет виден.

Брат,попробуй вместо числового значения 2 поставить 70 с лишним тысяч ,или 90 тысяч с лишним ,к примеру,и что на это ответит Avira с Доктором .Только при условии,что все дополнения на тестовой ОС установлены.Мне это тоже интересно.Репа с меня,в любом случае (когда будет разрешено проставить её).Не подумай плохого,советую также заняться авторством на форуме,уверен,что дело пойдёт.Всегда приятно говорить с компетентными и настроенными на реальные тесты Людьми.