LightsOut！逃避AV禁用AMSI和ETW

admin

102523
文章

87
评论

2023年8月7日01:08:39评论29 views字数 1771阅读5分54秒阅读模式

声明：该公众号分享的安全工具和项目均来源于网络，仅供安全研究与学习之用，如用于其他用途，由使用者承担全部法律及连带责任，与工具作者和本公众号无关。

现在只对常读和星标的公众号才展示大图推送，建议大家把Hack分享吧“设为星标”，否则可能看不到了！

工具介绍

LightsOut 将生成一个混淆的 DLL，该 DLL 将在尝试逃避 AV 时禁用 AMSI 和 ETW。这是通过随机化所有使用的 WinAPI 函数、异或编码字符串以及利用基本沙箱检查来完成的。Mingw-w64 用于将混淆的 C 代码编译为 DLL，该 DLL 可以加载到存在 AMSI 或 ETW 的任何进程中，如PowerShell。

LightsOut 设计用于在已安装的 Linux 系统上python3运行mingw-w64，不需要其他依赖项。

目前的功能包括：

字符串的异或编码
WinAPI 函数名称随机化
多个沙箱检查选项
硬件断点绕过选项

 _______________________|                       ||   AMSI + ETW          ||                       ||        LIGHTS OUT     ||        _______        ||       ||     ||       ||       ||_____||       ||       |/    /||       ||       /    / ||       ||      /____/ /-'       ||      |____|/          ||                       ||          @icyguider   ||                       ||                     RG|`-----------------------'usage: lightsout.py [-h] [-m <method>] [-s <option>] [-sa <value>] [-k <key>] [-o <outfile>] [-p <pid>]
Generate an obfuscated DLL that will disable AMSI & ETW
options:  -h, --help            show this help message and exit  -m <method>, --method <method>                        Bypass technique (Options: patch, hwbp, remote_patch) (Default: patch)  -s <option>, --sandbox <option>                        Sandbox evasion technique (Options: mathsleep, username, hostname, domain) (Default: mathsleep)  -sa <value>, --sandbox-arg <value>                        Argument for sandbox evasion technique (Ex: WIN10CO-DESKTOP, testlab.local)  -k <key>, --key <key>                        Key to encode strings with (randomly generated by default)  -o <outfile>, --outfile <outfile>                        File to save DLL to
Remote options:  -p <pid>, --pid <pid>                        PID of remote process to patch