|
声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。 |
现在只对常读和星标的公众号才展示大图推送,建议大家把Hack分享吧“设为星标”,否则可能看不到了!
工具介绍
LightsOut 将生成一个混淆的 DLL,该 DLL 将在尝试逃避 AV 时禁用 AMSI 和 ETW。这是通过随机化所有使用的 WinAPI 函数、异或编码字符串以及利用基本沙箱检查来完成的。Mingw-w64 用于将混淆的 C 代码编译为 DLL,该 DLL 可以加载到存在 AMSI 或 ETW 的任何进程中,如PowerShell。
LightsOut 设计用于在已安装的 Linux 系统上python3运行mingw-w64,不需要其他依赖项。
目前的功能包括:
-
字符串的异或编码 -
WinAPI 函数名称随机化 -
多个沙箱检查选项 -
硬件断点绕过选项
_______________________| || AMSI + ETW || || LIGHTS OUT || _______ || || || || ||_____|| || |/ /|| || / / || || /____/ /-' || |____|/ || || @icyguider || || RG|`-----------------------'usage: lightsout.py [-h] [-m <method>] [-s <option>] [-sa <value>] [-k <key>] [-o <outfile>] [-p <pid>]Generate an obfuscated DLL that will disable AMSI & ETWoptions:-h, --help show this help message and exit-m <method>, --method <method>Bypass technique (Options: patch, hwbp, remote_patch) (Default: patch)-s <option>, --sandbox <option>Sandbox evasion technique (Options: mathsleep, username, hostname, domain) (Default: mathsleep)-sa <value>, --sandbox-arg <value>Argument for sandbox evasion technique (Ex: WIN10CO-DESKTOP, testlab.local)-k <key>, --key <key>Key to encode strings with (randomly generated by default)-o <outfile>, --outfile <outfile>File to save DLL toRemote options:-p <pid>, --pid <pid>PID of remote process to patch
用途及Opsec注意事项:
使用示例
下载地址
回复关键字【230806】获取下载链接
信 安 考 证
|
CISP、PTE、PTS、DSG、IRE、IRS、NISP、PMP、CCSK、CISSP、ISO27001... |
往期推荐工具
原文始发于微信公众号(Hack分享吧):LightsOut!逃避AV禁用AMSI和ETW
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论