BlogEvading AV Software

Creación de un EXE (casi) completamente indetectable con Kali y GCC

Primero, quiero dar crédito al autor donde descubrí por primera vez cómo hacer esto: Blog de Astr0baby. Este artículo estaba fechado, así que tomé el guión de su página y lo modifiqué para que funcionara hoy. (También incluí la forma de ocultar la ventana emergente de la línea cmd).

Requisitos

  • Kali (u otra distribución de Linux)
  • Metasploit (Framework, Express o Pro)
  • GCC (uso la versión de Windows en MinGW en Wine)
  • Una comprensión básica de cómo configurar el multi / handler de Metasploit

Nota: Si no tiene instalada la versión de Windows de MinGW, esta publicación puede mostrarle cómo lo hago.

Visión de conjunto

No es ningún secreto que AV almacena nuestros ejecutables en cajas de arena, verifica sus firmas y utiliza otros métodos para determinar si nuestro archivo “legítimo” es malicioso o no. (Norton va un paso más allá y se asegura de que no se conecte a una fuente desconocida sin permiso). Entonces, ¿cómo podemos solucionar esto?

En este tutorial, le mostraré mi método para la evasión AV que usa los comandos msfpayload y msfencode para crear un archivo ejecutable. Luego, ejecutaremos el código a través de algunos comandos personalizados y variables de “relleno” para que sea menos detectable para AV.

Tenga en cuenta: Metasploit eliminará msfpayload y msfencode en los próximos meses, por lo que se utilizará msfvenom en su lugar. Si puede modificar este proceso para incorporar msfvenom, póngase en contacto conmigo. Me encantaría mantener esto actualizado.

Preparación

Hay tres cosas que debe hacer antes de ejecutar los siguientes comandos.

  1. Actualizar Kali:

sudo apt-get update

  1. Cree una carpeta “ShellCode” en la carpeta raíz de metasploit:

mkdir / usr / share / metasploit-framework / ShellCode

  1. Cree una carpeta de “salida” en la carpeta raíz:

mkdir / root / out

Hice el ejecutable en el /Eliminar, exterminar carpeta para mantener las cosas ordenadas al crear varios archivos. Esto es opcional, pero requerirá alguna edición de los comandos si elige no colocar los archivos .exe terminados allí.

Los comandos

A continuación se muestra el código para crear el ejecutable. Originalmente, esto era algo con lo que podía jugar, por lo que puede parecer un poco desordenado. Cambie la IP, el puerto, el número (iteraciones del codificador) y las variables de inicialización tanto o tan poco como necesite para adaptarse a su escenario.

Asegúrese de que la carpeta ShellCode esté vacía antes de ejecutar esto.

Iniciar el oyente

En caso de que esté leyendo esto y nunca haya iniciado un módulo multi / controlador de Metasploit, así es como lo hace:

msfconsole
usar exploit / multi / handler
establecer LHOST xx.xxx.xxx.xx
establecer LPORT 4444
#OPCIONAL
establecer ExitOnSession falso
explotar -j

Asegúrese de que su LHOST sea la dirección IP local, incluso si está haciendo que el ejecutable se conecte a una IP externa.

Pensamientos finales

Como se dijo antes, esta es una reelaboración de un artículo externo. Lo convertí en algo más útil para mí y también agregué las cadenas de ventana de comando ocultas que Astr0baby dejó en su blog.

He descubierto que esto es efectivo en varios sistemas operativos Windows que utilizan la mayoría de los softwares antivirus y lo omite 9/10 veces. Tenga en cuenta que Norton Antivirus reconocerá el archivo SÓLO después de que se ejecute y bloqueará un ataque “meterpreter / reverse_tcp”. Una forma en la que he (más o menos) solucionado esto es usar meterpreter / reverse_https en el ejecutable y el oyente. Todavía le pregunta al usuario si desea permitir la conexión, pero no lo llama malicioso.

Entonces, pruébalo. Si te gusta, me alegro de poder ayudarte. Si tiene formas de mejorarlo, envíeme un mensaje de correo electrónico. ¡Me encantaría mejorar esto!

ACTUALIZACIÓN: Ahora en formato BASH adecuado.

Está bien. así que como algunos de ustedes tienen problemas para hacer que esto funcione, decidí hacer de esto un script en lugar de Copiar / Pegar.

El nuevo repositorio está aquí:
Descargar en GitHub

¡Espero que esto ayude!

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar