Статья SpookFlare-инструмент генерации файла для обхода AV

vertigo.png

Здравствуйте,Уважаемые Форумчане,Друзья и Дорогие Читатели портала Codeby.
Очередной обзор будет посвящён несколько необычному инструменту.

Всем,кто связан так,или иначе, с IT-безопасностью,будет полезно знать о его существовании.
Особенность SpookFlare на текущий момент заключается в обходе всех существующих AV.
По причине свойств,актуальность иструмента амбициозно нацелена на длительный период времени.

Halil Dalabasmaz,автор SpookFlare,совместил обход систем безопасности с получением Meterpreter-сессии.
Учтены контрмеры на основе сигнатур,поведенческом обнаружении и репутации.
В общем ,сведены к минимуму обнаружение работы SpookFlare как на стороне клиента,так и в сети.

SpookFlare - генератор загрузчика для этапов Meterpreter Reverse HTTP и HTTPS.
Он меет пользовательский encrypter с функциями обфускации строк и компиляции кода во время выполнения.

В связи с этим,обеспечивается сложность разработки подписи в определенной строке для идентификации вредоносного кода.

SpookFlare использует обфускацию строки. Поэтому ,каждая генерируемая полезная нагрузка будет уникальной, насколько это возможно.

К тому же, компилируется фактический код во время выполнения.Сам процесс носит скрытый характер.
Так достигнуто решение необнаружения подозрительных системных вызовов .

Каждая генерируемая полезная нагрузка SpookFlare содержит собственный код загрузчика.

Очередная "крутость" SpookFlare ,состоит в шифровании исходного кода загрузчика с использованием класса RijnDaelManaged,и при его исполнении расшифровывается код загрузчика после того, как тот передан компилятору.

Обход контрмер сетевого уровня реализован путём добавления случайных байтов в начало приложения.

Metasploit придётся немного поднастроить для этого:
Код:
# leafpad /usr/share/metasploit-framework/lib/msf/core/payload/windows/x64/meterpreter_loader.rb

У кого Metasploit не настроен,то в открывшемся файле надо расскоментировать строки 6 ,125 и 126
И наоборот,закомментировать 124-ю (# dll).В 125-й можно теперь менять числовые значения.
После этого, можно использовать библиотеку securerandom на языке Ruby.

Далее, определяется создание фактического этапа с генерируемыми случайными байтами,
удаляются байты, добавленные с начала этапа, и запускаются остальные.

Функция Array.Copy намеренно используется в загрузчиках SpookFlare из-за быстроты по сравнению с Buffer.BlockCopy

Откуда можно скачать инструмент:

Код:
https://github.com/hlldz/SpookFlare

Автор проекта, поста,Администрация ресурса, в связи со спецификой рассматриваемого инструмента,
предупреждают об ответственности и соблюдении этики.Вся информация исключительно для ознакомления и изучения IT-безопасности.
Категорически запрещается применение инструмента в незаконных целях.

Нам также для работы с ним потребуется программа Visual Studio.
Обработав и запустив файл Program.cs , создастся в дальнейшем приложение для запуска SpookFlare.

vertigo2.png

Команды,которые предлагает стартующий SpookFlare

Код:
help- знакомство с опциями.
list - начало работы формирования payload
generate - генерация кода

Затем,запрашивается протокол http или https ,Ip - адрес,порт,архитектура целевой системы кол-во числовых символов.

Если нет желания запутывать как следует системы защиты,то можно в самом конце указать 0
Собственно,файл .exe ,будет приготовлен в папке Debug ,и SpookFlare укажет полный путь до него.

Опасность такого файла ещё и в том ,что расширение он совсем не желает демонстрировать.
Его можно как угодно переименовать,в свойствах ему будут даны атрибуты для чтения и довольно-таки ,неплохие права.

При его запуске,кроме секундного срабатывания оболочки,пользователь больше ничего рискует не увидеть.

Дело за Metasploit с атакующей машины Linux :

vertigo 1.png

В авторском видео,при проверке на детект файла AV,я не увидел (может плохо смотрел) ещё один известный Av.

vertigo3.png

Восполняю пробел,хотя итог был предсказуемым.Будьте пожалуйста осторожны как с этим инструментом,так и со скачиванием файлов из сети.
Подробности и детали по данному инструменту можно увидеть здесь:



На этом обзор завершаю,всех искренне благодарю за потраченное время на чтение,внимание и до новых встреч на лучшем портале.



P/S Выражаю огромную благодарность Александру Кочемировскому,Форумчанину Codeby,за предоставленную бесценную литературу и постоянные репосты материалов нашего форума.
 
Отличная статья, бро)
А на каких av тестил( кроме др.веба)? постараюсь на касперском и авасте потестить.
 
  • Нравится
Реакции: nikos и Vertigo
Отличная статья, бро)
А на каких av тестил( кроме др.веба)? постараюсь на касперском и авасте потестить.
Благодарю. Не стал больше тестить на других антивирусах после просмотра видео.
На virustotal,тем более,не заливаю.Теоретически,у продукта ,с его возвожностями ,достаточно ещё времени
для скрытой работы,к тому же,генерация происходит каждый раз индивидуально.
 
Я ещё на ноде 32 потестю
 
Последнее редактирование:
ТС подскажи пожалуйста, вроде все сделал согласно описания, но все равно вылетела ошибка, куда копать?
meterpreter.jpg

SpookFlare.jpg
 
ТС подскажи пожалуйста, вроде все сделал согласно описания, но все равно вылетела ошибка, куда копать? Посмотреть вложение 13158
Посмотреть вложение 13159

Нам также для работы с ним потребуется программа Visual Studio.
Обработав и запустив файл Program.cs , создастся в дальнейшем приложение для запуска SpookFlare.
vertigo2.png

Это сделал?

P.S: А попробуй ка через винду :D
 
Последнее редактирование:
  • Нравится
Реакции: nikos и Vertigo
ТС подскажи куда копать?
Правильно AL04E подсказал.
Установить на Windows программу Visual Studio Community (такой версии достаточно)-вариант безпроигрышный.
И сделать все основные шаги на ней.Пакет Net.Core тоже потребуется. И желательно ,чтобы версия ОС была 64-разрядная
С бинарниками,если разрядность иная,работать не получится в дальнейшем.
 
  • Нравится
Реакции: OneDollar
Правильно AL04E подсказал.
Установить на Windows программу Visual Studio Community (такой версии достаточно)-вариант безпроигрышный.
И сделать все основные шаги на ней.Пакет Net.Core тоже потребуется. И желательно ,чтобы версия ОС была 64-разрядная
С бинарниками,если разрядность иная,работать не получится в дальнейшем.



Это сделал?

P.S: А попробуй ка через винду :D



Благодарю Всех за ответы
 
  • Нравится
Реакции: Vertigo
Посмотреть вложение 13119

У кого Metasploit не настроен,то в открывшемся файле надо расскоментировать строки 6 ,125 и 126
И наоборот,закомментировать 124-ю (# dll).В 125-й можно теперь менять числовые значения.
Подскажите, пожалуйста, а лучше, можно скрин того, что в этих строках у вас находится?
 
  • Нравится
Реакции: OneDollar
Посмотреть вложение 13119

Здравствуйте,Уважаемые Форумчане,Друзья и Дорогие Читатели портала Codeby.
Очередной обзор будет посвящён несколько необычному инструменту.

Всем,кто связан так,или иначе, с IT-безопасностью,будет полезно знать о его существовании.
Особенность SpookFlare на текущий момент заключается в обходе всех существующих AV.
По причине свойств,актуальность иструмента амбициозно нацелена на длительный период времени.

Halil Dalabasmaz,автор SpookFlare,совместил обход систем безопасности с получением Meterpreter-сессии.
Учтены контрмеры на основе сигнатур,поведенческом обнаружении и репутации.
В общем ,сведены к минимуму обнаружение работы SpookFlare как на стороне клиента,так и в сети.

SpookFlare - генератор загрузчика для этапов Meterpreter Reverse HTTP и HTTPS.
Он меет пользовательский encrypter с функциями обфускации строк и компиляции кода во время выполнения.

В связи с этим,обеспечивается сложность разработки подписи в определенной строке для идентификации вредоносного кода.

SpookFlare использует обфускацию строки. Поэтому ,каждая генерируемая полезная нагрузка будет уникальной, насколько это возможно.

К тому же, компилируется фактический код во время выполнения.Сам процесс носит скрытый характер.
Так достигнуто решение необнаружения подозрительных системных вызовов .

Каждая генерируемая полезная нагрузка SpookFlare содержит собственный код загрузчика.

Очередная "крутость" SpookFlare ,состоит в шифровании исходного кода загрузчика с использованием класса RijnDaelManaged,и при его исполнении расшифровывается код загрузчика после того, как тот передан компилятору.

Обход контрмер сетевого уровня реализован путём добавления случайных байтов в начало приложения.

Metasploit придётся немного поднастроить для этого:
Код:
# leafpad /usr/share/metasploit-framework/lib/msf/core/payload/windows/x64/meterpreter_loader.rb

У кого Metasploit не настроен,то в открывшемся файле надо расскоментировать строки 6 ,125 и 126
И наоборот,закомментировать 124-ю (# dll).В 125-й можно теперь менять числовые значения.
После этого, можно использовать библиотеку securerandom на языке Ruby.

Далее, определяется создание фактического этапа с генерируемыми случайными байтами,
удаляются байты, добавленные с начала этапа, и запускаются остальные.

Функция Array.Copy намеренно используется в загрузчиках SpookFlare из-за быстроты по сравнению с Buffer.BlockCopy

Откуда можно скачать инструмент:

Код:
https://github.com/hlldz/SpookFlare

Автор проекта, поста,Администрация ресурса, в связи со спецификой рассматриваемого инструмента,
предупреждают об ответственности и соблюдении этики.Вся информация исключительно для ознакомления и изучения IT-безопасности.
Категорически запрещается применение инструмента в незаконных целях.

Нам также для работы с ним потребуется программа Visual Studio.

Обработав и запустив файл Program.cs , создастся в дальнейшем приложение для запуска SpookFlare.

Посмотреть вложение 13120

Команды,которые предлагает стартующий SpookFlare

Код:
help- знакомство с опциями.
list - начало работы формирования payload
generate - генерация кода

Затем,запрашивается протокол http или https ,Ip - адрес,порт,архитектура целевой системы кол-во числовых символов.

Если нет желания запутывать как следует системы защиты,то можно в самом конце указать 0
Собственно,файл .exe ,будет приготовлен в папке Debug ,и SpookFlare укажет полный путь до него.

Опасность такого файла ещё и в том ,что расширение он совсем не желает демонстрировать.
Его можно как угодно переименовать,в свойствах ему будут даны атрибуты для чтения и довольно-таки ,неплохие права.

При его запуске,кроме секундного срабатывания оболочки,пользователь больше ничего рискует не увидеть.

Дело за Metasploit с атакующей машины Linux :

Посмотреть вложение 13121

В авторском видео,при проверке на детект файла AV,я не увидел (может плохо смотрел) ещё один известный Av.

Посмотреть вложение 13122

Восполняю пробел,хотя итог был предсказуемым.Будьте пожалуйста осторожны как с этим инструментом,так и со скачиванием файлов из сети.
Подробности и детали по данному инструменту можно увидеть здесь:

***Скрытый текст***

На этом обзор завершаю,всех искренне благодарю за потраченное время на чтение,внимание и до новых встреч на лучшем портале.



P/S Выражаю огромную благодарность Александру Кочемировскому,Форумчанину Codeby,за предоставленную бесценную литературу и постоянные репосты материалов нашего форума.
Вот хороший сервис, можно заливать без риска слива... Там три проверки в сутки бесплатно, только есть ограничение по весу файла...
nodistribute.com (не реклама)
Риск слива есть на всех онлайн сканерах.. Но мы привыкли его считать более менее безопасным)
 
  • Нравится
Реакции: Sniff, Vertigo и nikos
Установить на Windows программу Visual Studio Community (такой версии достаточно)-вариант безпроигрышный.
Да там еще требует NET Framework какой-то старый, с новым не запускается. А старый что-то лень было ставить.
 
требует NET Framework какой-то старый, с новым не запускается.
На сайте разработчика удобно установщик скачать,там же и дополнения предложено будет установить.Останется только Net.Core добавить.
[doublepost=1511455936,1511455835][/doublepost]
Это типа антинуба
Да нет,реально косяк мой, обнаруживается при включении тёмной темы.Время на редактирование вышло( (Спасибо,что исправили )
[doublepost=1511456282][/doublepost]
Подскажите, пожалуйста, а лучше, можно скрин того, что в этих строках у вас находится?
При установке на Linux,устанавливается и генератор чисел,поэтому конфиг получается другим.Идёт с библиотекой ruby для securerandom. Если устанавливать spookflare на windows и там же производить обработку,то в Linux редактирование файла не требуется.
 
Последнее редактирование:
  • Нравится
Реакции: vag4b0nd
В принципе тест хороший, но Авиру тяжело обмануть.


И если поставить вместо 0, цифру 2.
 
Последнее редактирование модератором:
В принципе тест хороший, но Авиру тяжело обмануть.


И если поставить вместо 0, цифру 2.
Скорей всего уже начали полить
[doublepost=1511464785,1511464755][/doublepost]
В принципе тест хороший, но Авиру тяжело обмануть.


И если поставить вместо 0, цифру 2.
Лучше шифровать тогда дольше инструмент проживёт
[doublepost=1511465266][/doublepost]
Правильно AL04E подсказал.
Установить на Windows программу Visual Studio Community (такой версии достаточно)-вариант безпроигрышный.
И сделать все основные шаги на ней.Пакет Net.Core тоже потребуется. И желательно ,чтобы версия ОС была 64-разрядная
С бинарниками,если разрядность иная,работать не получится в дальнейшем.
Как я понял Metasploit тоже в windows должен стоять
 
Как я понял Metasploit тоже в windows должен стоять

Как душе угодно.
_________________________________
П.С: ты можешь сгенерировать ту же нагрузку например с кали. Далее перекинуть на винду(предварительно отключив свой av). Остается дело за малым(надеюсь понял). А потом как фантазия подскажет.
 
Последнее редактирование:
Но не все так просто под Луной.
Да вирус не палится антивирями, пока его не запустишь.
А вот когда запустил, то

Но есть еще одно НО, если на машине жертвы не стоит NET Framework, то


А так если антивирь отключить то сессия идет нормально.

Кстати забыл написать. Что состряпал как х86, а запустил на х64. И ничего пашет.
Без всяких исправлений и танцев с бубном на Кобальт Страйке идет сразу.
[doublepost=1511467517,1511466681][/doublepost]
Как я понял Metasploit тоже в windows должен стоять
Зачем его в винду ставить?
 
Последнее редактирование модератором:
  • Нравится
Реакции: OneDollar
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!