SpookFlare-инструмент генерации файла для обхода AV
http://t.me/Torchik_RuДоброго времени суток, господа. Сегодня на повестке дня у нас SpookFlare. Всем, кто связан с ИБ, будет полезно знать о его существовании. Особенность его заключается в обходе всех существующих AV. По причине свойств, актуальность инструмента очень амбициозно нацелена на длительные промежутки времени.
Halil Dalabasmaz,автор SpookFlare,совместил обход систем безопасности с получением Meterpreter-сессии. Учтены контрмеры на основе сигнатур,поведенческом обнаружении и репутации. В общем ,сведены к минимуму обнаружение работы SpookFlare как на стороне клиента,так и в сети.
SpookFlare - генератор загрузчика для этапов Meterpreter Reverse HTTP и HTTPS. Он имеет пользовательский encrypter с функциями обфускации строк и компиляции кода во время выполнения. В связи с этим,обеспечивается сложность разработки подписи в определенной строке для идентификации вредоносного кода. SpookFlare использует обфускацию строки. Поэтому ,каждая генерируемая полезная нагрузка будет уникальной, насколько это возможно. К тому же, компилируется фактический код во время выполнения .Сам процесс носит скрытый характер. Так достигнуто решение необнаружения подозрительных системных вызовов.
Очередная "крутость" SpookFlare ,состоит в шифровании исходного кода загрузчика с использованием класса RijnDaelManaged,и при его исполнении расшифровывается код загрузчика после того, как тот передан компилятору.
Обход контрмер сетевого уровня реализован путём добавления случайных байтов в начало приложения.
Metasploit придётся немного поднастроить для этого:
У кого Metasploit не настроен,то в открывшемся файле надо расскоментировать строки 6 ,125 и 126
И наоборот, закомментировать 124-ю (# dll).В 125-й можно теперь менять числовые значения. После этого, можно использовать библиотеку securerandom на языке Ruby. Далее, определяется создание фактического этапа с генерируемыми случайными байтами, удаляются байты, добавленные с начала этапа, и запускаются остальные. Функция Array.Copy намеренно используется в загрузчиках SpookFlare из-за быстроты по сравнению с Buffer.BlockCopy.
Скачать инструмент.
Нам также для работы с ним потребуется программа Visual Studio. Обработав и запустив файл Program.cs , создастся в дальнейшем приложение для запуска SpookFlare.
Команды,которые предлагает стартующий SpookFlare
help- знакомство с опциями.
list - начало работы формирования payload
generate - генерация кода
Затем,запрашивается протокол http или https ,Ip - адрес,порт,архитектура целевой системы кол-во числовых символов.
Если нет желания запутывать как следует системы защиты,то можно в самом конце указать 0. Собственно,файл .exe ,будет приготовлен в папке Debug ,и SpookFlare укажет полный путь до него. Опасность такого файла ещё и в том ,что расширение он совсем не желает демонстрировать. Его можно как угодно переименовать,в свойствах ему будут даны атрибуты для чтения и довольно-таки ,неплохие права. При его запуске,кроме секундного срабатывания оболочки,пользователь больше ничего рискует не увидеть.
Дело за Metasploit с атакующей машины Linux :
В авторском видео,при проверке на детект файла AV,я не увидел (может плохо смотрел) ещё один известный AV.
Восполняю пробел,хотя итог был предсказуемым.Будьте пожалуйста осторожны как с этим инструментом,так и со скачиванием файлов из сети. Подробности и детали по данному инструменту можно увидеть здесь.