SpookFlare-инструмент генерации файла для обхода AV
Guard MindВсем,кто связан так,или иначе, с IT-безопасностью,будет полезно знать о его существовании.
Особенность SpookFlare на текущий момент заключается в обходе всех существующих AV.
По причине свойств,актуальность иструмента амбициозно нацелена на длительный период времени.
Halil Dalabasmaz,автор SpookFlare,совместил обход систем безопасности с получением Meterpreter-сессии.
Учтены контрмеры на основе сигнатур,поведенческом обнаружении и репутации.
В общем ,сведены к минимуму обнаружение работы SpookFlare как на стороне клиента,так и в сети.
SpookFlare - генератор загрузчика для этапов Meterpreter Reverse HTTP и HTTPS.
Он меет пользовательский encrypter с функциями обфускации строк и компиляции кода во время выполнения.
В связи с этим,обеспечивается сложность разработки подписи в определенной строке для идентификации вредоносного кода.
SpookFlare использует обфускацию строки. Поэтому ,каждая генерируемая полезная нагрузка будет уникальной, насколько это возможно.
К тому же, компилируется фактический код во время выполнения.Сам процесс носит скрытый характер.
Так достигнуто решение необнаружения подозрительных системных вызовов .
Каждая генерируемая полезная нагрузка SpookFlare содержит собственный код загрузчика.
Очередная "крутость" SpookFlare ,состоит в шифровании исходного кода загрузчика с использованием класса RijnDaelManaged,и при его исполнении расшифровывается код загрузчика после того, как тот передан компилятору.
Обход контрмер сетевого уровня реализован путём добавления случайных байтов в начало приложения.
Metasploit придётся немного поднастроить для этого:
# leafpad /usr/share/metasploit-framework/lib/msf/core/payload/windows/x64/meterpreter_loader.rb
У кого Metasploit не настроен,то в открывшемся файле надо расскоментировать строки 6 ,125 и 126
И наоборот,закомментировать 124-ю (# dll).В 125-й можно теперь менять числовые значения.
После этого, можно использовать библиотеку securerandom на языке Ruby.
Далее, определяется создание фактического этапа с генерируемыми случайными байтами,
удаляются байты, добавленные с начала этапа, и запускаются остальные.
Функция Array.Copy намеренно используется в загрузчиках SpookFlare из-за быстроты по сравнению с Buffer.BlockCopy
Откуда можно скачать инструмент:
https://github.com/hlldz/SpookFlare
Нам также для работы с ним потребуется программа Visual Studio.
Обработав и запустив файл Program.cs , создастся в дальнейшем приложение для запуска SpookFlare.
Команды,которые предлагает стартующий SpookFlare
help- знакомство с опциями. list - начало работы формирования payload generate - генерация кода
Затем,запрашивается протокол http или https ,Ip - адрес,порт,архитектура целевой системы кол-во числовых символов.
Если нет желания запутывать как следует системы защиты,то можно в самом конце указать 0
Собственно,файл .exe ,будет приготовлен в папке Debug ,и SpookFlare укажет полный путь до него.
Опасность такого файла ещё и в том ,что расширение он совсем не желает демонстрировать.
Его можно как угодно переименовать,в свойствах ему будут даны атрибуты для чтения и довольно-таки ,неплохие права.
При его запуске,кроме секундного срабатывания оболочки,пользователь больше ничего рискует не увидеть.
Дело за Metasploit с атакующей машины Linux :
При проверке на детект файла AV,я не увидел (может плохо смотрел) ещё один известный Av.
Восполняю пробел,хотя итог был предсказуемым.Будьте пожалуйста осторожны как с этим инструментом,так и со скачиванием файлов из сети.
Подробности и детали по данному инструменту можно увидеть здесь:
https://artofpwn.com/spookflare.html
Спасибо за прочтение!
Статья подготовлена каналом Guard Mind. Подписывайтесь!