使用 EchoStrike(一种基于 Go 的工具,用于道德黑客和红队操作)部署无法检测的反向 shell 并执行隐秘的进程注入

admin
admin
admin
140350
文章
117
评论
2024年9月10日22:56:01评论60 views字数 2013阅读6分42秒阅读模式

使用 EchoStrike(一种基于 Go 的工具,用于道德黑客和红队操作)部署无法检测的反向 shell 并执行隐秘的进程注入

EchoStrike是一款旨在生成不可检测的反向 shell并在 Windows 系统上执行进程注入的工具。通过用Python 编写的交互式向导,用户可以使用高级持久性和加密技术自定义其二进制文件。恶意软件代码用Go编写,确保灵活性和强大功能以满足攻击者的需求。

EchoStrike允许从任何 URL 下载二进制文件,并在挂起的进程(如 explorer.exe 或 cmd.exe )下执行它们,从而确保谨慎而隐蔽地执行。此外,它还提供高级选项来调整二进制文件的大小并确保在目标系统上持久存在。

✨ 特点

  • 交互式向导(基于 Python): EchoStrike 提供了一个用户友好的安装向导(用 Python 编写),指导用户完成反向 shell 有效负载的自定义,而无需手动编辑配置文件。

  • 定义持久性技术:支持多种持久性方法,包括:

  • Registry (CurrentUser Run)

  • Registry (Command Processor)

  • Task Scheduler (Admin Required)

  • Startup Folder

  • 有效负载的 AES 加密:自动生成 128 位 AES 密钥(16 字节十六进制格式)以在注入之前加密有效负载,确保在内存中无法检测到原始形式的 shellcode。

  • 用于逃避的二进制填充:通过添加填充来调整生成的二进制文件的大小,使得基于文件大小分析检测到它们变得更加困难。

  • 错误日志和进程管理:包括用于记录错误和管理后台进程的实用程序,以及在不显示可见窗口的情况下执行命令以及将可执行文件移动到系统文件夹以AppDataRoaming避免检测的选项。

  • 进程注入:explorer.exe允许在暂停的进程(如、cmd.exe和)内注入二进制文件,powershell.exe从而实现内存中执行以避免被发现。

  • 动态下载和执行: EchoStrike 允许您从任何 URL 下载二进制文件并在暂停的进程下执行它们,确保谨慎地交付和执行有效载荷。

⚙️ 配置

EchoStrike 的配置简单直观,只需几个步骤即可生成反向 shell 负载。您只需按照向导在终端中提供的步骤进行操作即可:

  • 输入IP和端口:配置用于反向shell连接的服务器IP地址和端口。

  • 提供 16 位 AES 密钥(32 个字符):输入或生成安全的 AES 密钥来加密有效负载。

  • 选择持久性选项:从多种持久性方法中选择,例如注册表或任务计划程序。

  • 选择注入方法:EchoStrike 允许使用各种技术,包括用于 shellcode 注入的进程挖空。

  • 编译有效负载: EchoStrike 将使用指定的选项生成一个可供部署的二进制文件。

⚙️ 演示实现

为了确保你收到反向 shell,请按照下列步骤操作:

1.使用 Ngrok 启动 TCP 连接:使用以下命令在端口 443 上启动 TCP 连接:

ngrok tcp 443

5.提取 IP 地址:获取 Ngrok URL 后,使用以下命令提取 IP:

ping 0.tcp.ngrok.io:16315

3.输入 IP 和端口:当 EchoStrike 提示您输入反向 shell 详细信息时,使用您在上一步中获得的 IP 地址和端口(例如 16315)。

4.创建 OpenSSL 证书和密钥:使用以下命令生成证书和密钥:

openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes

5.监听端口 443:使用 socat 监听端口 443,Ngrok 将在此与本地机器进行通信:

sudo socat OPENSSL-LISTEN:443,reuseaddr,cert=cert.pem,key=key.pem,verify=0,fork stdio

按照这些步骤,受害者执行 EchoStrike 生成的二进制文件后,您应该能够成功接收反向 shell。如果受害者的机器已关闭,请让您的机器处于监听模式。当机器重新打开时,如果您选择了持久性技术,您将无需任何用户交互即可重新获得 shell。

💻 要求

Go 编译器:安装 Go 来编译该工具并生成自定义有效负载。按照以下简单步骤在 Kali Linux 上安装 Go:

sudo apt updatesudo apt install golang

Python 3:运行交互式向导所需。

sudo apt install python3

依赖项:安装所需的 Python 库。

pip install termcolor pyfiglet

该工具可以在Windows和Linux系统上进行编译,为不同的环境提供了灵活性。

⚠️免责声明

此工具仅用于教育目的和受控环境。严禁在这些设置之外未经授权使用 EchoStrike。作者@Stiven.Hacker对此代码造成的任何误用或损害不承担任何责任。

https://github.com/stivenhacker/EchoStrike

原文始发于微信公众号(Ots安全):使用 EchoStrike(一种基于 Go 的工具,用于道德黑客和红队操作)部署无法检测的反向 shell 并执行隐秘的进程注入

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月10日22:56:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   使用 EchoStrike(一种基于 Go 的工具,用于道德黑客和红队操作)部署无法检测的反向 shell 并执行隐秘的进程注入https://cn-sec.com/archives/3150605.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息