BlackCat_自写模块化免杀工具

admin 2023年12月4日23:39:00评论149 views字数 1391阅读4分38秒阅读模式

 

BlackCat_自写模块化免杀工具

 

请勿使用此工具进行任何未经授权或非法的网络攻击,我对使用此工具进行的任何误用或非法活动不承担任何责任。

 

1、随便写着玩的工具。已经过测试并证明可以绕过 McAfee、Avira、360 等防病毒软件。除了规避静态查杀,还能绕过部分动态查杀。该工具的核心功能依赖于 shellcode 注入技术。

2、该工具的最初设计意图是模块化的绕过防病毒(AV)软件,去除每个工具都需要免杀的麻烦操作。这个工具只需要将每个exe工具生成一次然后保存生成的两个载荷,后续不需要再次生成也可以使用。

3、建议对需要加载的工具重构以删除某些指纹并增加绕过防病毒(AV)软件的概率,当然这个工具还会被进一步修改以再次逃避AV检测。

4、由于最后所提到的问题,其使用宽度受到一些限制,具体可以自行发掘。

5、代码比较难看没啥反编译的必要,目前还没有开源或更新的计划,但是保证代码中绝对没有后门。未来有计划重构代码,改用DLL加载、注入的方式解决第四点的问题。现在这个工具仍然是 Cobalt Strike 等场景中的一个有用工具。

 

帮助信息

options:  -h, --help            show this help message and exit  -f FILE, --file FILE  filename,Files to be loaded.

 

使用步骤

生成载荷-->重命名-->上传利用

1.使用Admin端生成payload,下面以mimikatz为例。

注:exeNmae是要使用的可执行文件的软件名称,不需要后缀。仅对exe格式文件有效。

执行后会生成两个文件:一个是shellcode文件(mimikatz.txt),另一个是攻击负载(mimikatz_Payload.txt)。

BlackCat-Admin_v1.2.exe -f exeName:BlackCat-Admin_v1.2.exe -f mimikatz

BlackCat_自写模块化免杀工具

2.重命名有效负载

ren exeName_Payload.txt Payload.txt:ren mimikatz_Payload.txt Payload.txt

3.上传加载器到目标服务器,加载工具并执行命令。

将BlackCat-Agent.exe、exeName.txt和payload.txt这三个文件上传到目标服务器。

目前不开放远程加载方案,仅提供本地加载解决方案。

BlackCat-Agent_v1.2.exe exeName.txt  cmd:BlackCat-Agent_v1.2.exe mimikatz.txt "privilege::debug" "sekurlsa::logonpasswords" exit

BlackCat-AgentCs_v1.2.exe 和 BlackCat-Agent_v1.2.exe 之间的区别在于其用户界面。BlackCat-AgentCs 不显示终端或图形界面,因此适合像 Cobalt Strike 这样需要隐秘性的场景。BlackCat-Agent可以在终端界面查看命令执行的反馈。

BlackCat_自写模块化免杀工具

 

已知错误,暂未修复。

运行程序后,所有命令行参数都将传递给执行的工具。Mimikatz、Cobalt Strike的使用不受影响。

BlackCat_自写模块化免杀工具

工具地址:https://github.com/YongYe-Security/BlackCat

解压密码:Boom

 

 

 

原文始发于微信公众号(YongYe 安全实验室):BlackCat_自写模块化免杀工具

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月4日23:39:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   BlackCat_自写模块化免杀工具https://cn-sec.com/archives/2267516.html

发表评论

匿名网友 填写信息