-

Phantom Evasion - Python AV Evasion Tool قادر على توليد FUD Executable حتى مع الحمولة الشائعة 32 Bit Metasploit (Exe / Elf / Dmg / Apk)



Phantom-Evasion هي أداة تهرب تفاعلية لمكافحة الفيروسات مكتوبة في python قادرة على توليد (تقريبًا) FUD قابل للتنفيذ حتى مع الحمولة الصافية الأكثر شيوعًا 32 bit msfvenom (نسبة اكتشاف أقل مع 64 bit loads). والهدف من هذه الأداة هو جعل التهرب من الفيروسات مهمة سهلة بالنسبة للخناجر من خلال استخدام وحدات تركز على الشفرات متعددة الأشكال وتقنيات الكشف عن رمل الحماية من الفيروسات. منذ الإصدار 1.0 Phantom-Evasion تشمل أيضا قسم ما بعد الاستغلال مخصص للثبات والوحدات المساعدة.
تدعم أنظمة التشغيل التالية رسميًا الإعداد التلقائي:
  1. كالي لينكس المتداول 2018.1+ (64 بت)
  2. أمن الببغاء (64 بت)
من المحتمل أن تتمكن أنظمة التشغيل التالية من تشغيل Phantom Evasion من خلال الإعداد اليدوي:
  1. Arch Linux (64 بت)
  2. BlackArch Linux (64 بت)
  3. الابتدائية (64 بت)
  4. لينكس منت (64 بت)
  5. Ubuntu 15.10 والإصدارات الأحدث (64 بت)
  6. Windows 7/8/10 (64 بت)

المساهمون
شكر خاص ل:
phra https://github.com/phra
stefano118 https://github.com/stefano118

ابدء
ببساطة استنساخ git أو تحميل وفك ضغط المجلد Phantom-Evasion

كالي لينكس:
الإعداد التلقائي مدعوم رسميًا ، وافتح محطة طرفية وتنفيذ التهرب الوهمية: 
sudo python phantom-evasion.py
أو: 
 sudo chmod +x ./phantom-evasion.py 
 
 sudo ./phantom-evasion.py

التبعيات (فقط للإعداد اليدوي)
  1. metasploit-الإطار
  2. mingw-w64 (cygwin على النوافذ)
  3. مجلس التعاون الخليجي
  4. apktool
  5. قطاع
  6. النبيذ (ليس من الضروري على النوافذ)
  7. apksigner
  8. pyinstaller
تتطلب libc6-dev-i386 (linux فقط)

WINDOWS PAYLOADS

وحدات حقن Windows Shellcode (C)
يتم دعم حمولات النوافذ من Msfvenom وقناطر shell المخصصة
(>) العشوائي junkcode وتقنيات مكافحة الفيروسات ويندوز التهرب
(>) برامج ترميز Xor متعددة البايتات (انظر قسم التمهيدي متعدد الشفرات Xor)
(>) عمليات طرائد الفطام المتاحة (انظر قسم فقس عملية Spawner)
(>) الشريط القابل للتنفيذ متاح ( https://en.wikipedia.org/wiki/Strip_(Unix) )
(>) نطاق التنفيذ: 35-60 ثانية
  1. Windows Shellcode Injection VirtualAlloc: حقن وتنفيذ shellcode في الذاكرة باستخدام VirtualAlloc ، CreateThread ، WaitForSingleObject API.
  2. Windows Shellcode Injection VirtualAlloc NoDirectCall LL / GPA: حقن وتنفيذ shellcode في الذاكرة باستخدام VirtualAlloc ، CreateThread ، WaitForSingleObject API. يتم تحميل API الحرجة بشكل ديناميكي (لا يوجد مكالمة مباشرة) باستخدام LoadLibrary و GetProcAddress API.
  3. Windows Shellcode Injection VirtualAlloc NoDirectCall GPA / GMH: حقن وتنفيذ shellcode في الذاكرة باستخدام VirtualAlloc ، CreateThread ، WaitForSingleObject API. API الحرجة يتم تحميلها ديناميكياً (لا يوجد مكالمة مباشرة) باستخدام GetModuleHandle و GetProcAddress API.
  4. Windows Shellcode Injection HeapAlloc: حقن وتنفيذ shellcode في الذاكرة باستخدام HeapAlloc ، HeapCreate ، CreateThread ، WaitForSingleObject API.
  5. Windows Shellcode Injection HeapAlloc NoDirectCall LL / GPA: حقن وتنفيذ shellcode في الذاكرة باستخدام HeapCreate ، HeapAlloc ، CreateThread ، WaitForSingleObject API. يتم تحميل API الحرجة بشكل ديناميكي (لا يوجد مكالمة مباشرة) باستخدام LoadLibrary و GetProcAddress API.
  6. Windows Shellcode Injection HeapAlloc NoDirectCall GPA / GMH: حقن وتنفيذ shellcode في الذاكرة باستخدام HeapCreate ، HeapAlloc ، CreateThread ، WaitForSingleObject API. API الحرجة يتم تحميلها ديناميكياً (لا يوجد مكالمة مباشرة) باستخدام GetModuleHandle و GetProcAddress API.
  7. Windows حقن حقن Shellcode العملية: حقن وتنفيذ shellcode في الذاكرة العملية عن بعد (الافتراضي: OneDrive.exe (x86) ، explorer.exe (x64)) باستخدام VirtualAllocEx ، WriteProcessMemory ، CreateRemoteThread ، WaitForSingleObject API.
  8. Windows Shellcode حقن عملية حقن NoDirectCall LL / GPA: حقن وتنفيذ shellcode في الذاكرة العملية عن بعد (الافتراضي: OneDrive.exe (x86) ، explorer.exe (x64)) باستخدام VirtualAllocEx ، WriteProcessMemory ، CreateRemoteThread ، WaitForSingleObject API. يتم تحميل API الحرجة بشكل ديناميكي (لا يوجد مكالمة مباشرة) باستخدام LoadLibrary و GetProcAddress API.
  9. Windows Shellcode حقن عملية حقن NoDirectCall GPA / GMH: حقن وتنفيذ shellcode في الذاكرة العملية عن بعد (الافتراضي: OneDrive.exe (x86) ، explorer.exe (x64)) باستخدام VirtualAllocEx ، WriteProcessMemory ، CreateRemoteThread ، WaitForSingleObject API. API الحرجة يتم تحميلها ديناميكياً (لا يوجد مكالمة مباشرة) باستخدام GetModuleHandle و GetProcAddress API.
  10. Windows Shellcode Injection Thread Hijack: إدخال shellcode إلى ذاكرة معالجة بعيدة وتنفيذها تنفيذ تنفيذ خيط التنفيذ (الإعداد الافتراضي: OneDrive.exe (x86) ، explorer.exe (x64)) باستخدام VirtualAllocEx ، WriteProcessMemory ، Get / SetThreadContext ، Suspend / ResumeThread API.
  11. Windows Shellcode Injection Thread Hijack LL / GPA: حقن shellcode في الذاكرة العملية عن بعد وتنفيذها تنفيذ خيط تنفيذ مؤشر الترابط (افتراضي: OneDrive.exe (x86) ، explorer.exe (x64)) باستخدام VirtualAllocEx ، WriteProcessMemory ، Get / SetThreadContext ، معلق / ResumeThread API. يتم تحميل API الحرجة بشكل ديناميكي (لا يوجد مكالمة مباشرة) باستخدام LoadLibrary و GetProcAddress API.
  12. Windows Shellcode Injection Thread Hijack GPA / GMH: حقن shellcode في الذاكرة العملية عن بعد وتنفيذها تنفيذ خيط تنفيذ مؤشر الترابط (الافتراضي: OneDrive.exe (x86) ، explorer.exe (x64)) باستخدام VirtualAllocEx ، WriteProcessMemory ، Get / SetThreadContext ، معلق / ResumeThread API. API الحرجة يتم تحميلها ديناميكياً (لا يوجد مكالمة مباشرة) باستخدام GetModuleHandle و GetProcAddress API.

ويندوز بيور سي مترتر ستير
نقاير مترجم متعدد الصرفة C متوافق مع منارة msfconsole وكوبالت (. back_tcp / reverse_http)
(>) العشوائية junkcode و windows مكافحة الفيروسات التهرب من تقنيات (>) فاحص التهرب الشراعية spawner المتاحة (انظر التهرب الشبح الفاحشة عملية spawner القسم) (>) الشريط القابل للتنفيذ المتاحة ( https://en.wikipedia.org/wiki/Strip_(Unix ) ) (>) نطاق التنفيذ: 35-60 ثانية
  1. C meterpreter / reverse_TCP VirtualAlloc (x86 / x64): 32/64 bit windows / meterpreter / reverse_tcp stall polymorphic stager المكتوبة بلغة c (تتطلب مستمع متعدد / معالج مع مجموعة من الحمولة إلى windows / meterpreter / reverse_tcp (إذا كان x86) - windows / x64 / meterpreter / reverse_tcp (إذا كان x64) ، والذاكرة: Virtual)
  2. C meterpreter / reverse_TCP HeapAlloc (x86 / x64): 32/64 bit windows / meterpreter / reverse_tcp stem polymorphic stager المكتوبة بلغة c (تتطلب مستمع متعدد المناولة / المعتمد مع مجموعة من الحمولة إلى windows / meterpreter / reverse_tcp (إذا كانت x86) - windows / x64 / meterpreter / reverse_tcp (إذا كان x64) ، والذاكرة: كومة)
  3. C meterpreter / reverse_TCP VirtualAlloc NoDirectCall GPAGMH (x86 / x64): 32/64 bit windows / meterpreter / reverse_tcp stall polymorphic stall المكتوبة بلغة c (متسلق متعدد المنافذ / المعالج مع الحمولة المضبوطة على windows / متر / back_tcp (إذا كان x86) - windows / x 64 / متر / reverse_tcp (إذا كان x64) ، الذاكرة: Virtual ، API محملة في وقت التشغيل)
  4. C meterpreter / reverse_TCP HeapAlloc NoDirectCall GPAGMH (x86 / x64): 32/64 bit windows / meterpreter / reverse_tcp stem polymorphic stall المكتوبة بلغة c (تتطلب مستمع متعدد المناولة / المعتمدين مع الحمولة المضبوطة على windows / meterpreter / reverse_tcp (إذا كانت x86) - windows / x 64 / متر / reverse_tcp (إذا كان x64) ، الذاكرة: كومة ، تحميل API في وقت التشغيل)
  5. C meterpreter / reverse_HTTP VirtualAlloc (x86 / x64): 32/64 bit windows / meterpreter / reverse_http polemorphic stager المكتوبة بلغة c (تتطلب مستمع متعدد / معالج مع مجموعة من الحمولة إلى windows / meterpreter / reverse_http (إذا كان x86) - windows / x64 / meterpreter / reverse_http (إذا كان x64) ، والذاكرة: Virtual)
  6. C meterpreter / reverse_HTTP HeapAlloc (x86 / x64): 32/64 bit windows / meterpreter / reverse_http polemorphic stager المكتوبة بلغة c (تتطلب مستمع متعدد / معالج مع مجموعة من الحمولة إلى windows / meterpreter / reverse_http (إذا كان x86) - windows / x64 / meterpreter / reverse_http (إذا كان x64) ، الذاكرة: كومة الذاكرة المؤقتة)
  7. C meterpreter / reverse_HTTP VirtualAlloc NoDirectCall GPAGMH (x86 / x64): 32/64 bit windows / meterpreter / reverse_http polymorphic stager المكتوبة بلغة c (تتطلب مستمع متعدد المناولة / مع مجموعة من الحمولة إلى windows / متر / back_http (إذا كان x86) - windows / x 64 / meterpreter / reverse_http (إذا كان x64) ، API تحميلها في وقت التشغيل)
  8. C meterpreter / reverse_HTTP HeapAlloc NoDirectCall GPAGMH (x86 / x64): 32/64 bit windows / meterpreter / reverse_http polymorphic stager المكتوبة بلغة c (تتطلب مستمع متعدد المناولة / المعتمدين مع الحمولة المضبوطة على windows / meterpreter / reverse_http (إذا كان x86) - windows / x 64 / meterpreter / reverse_http (إذا كان x64) ، الذاكرة: كومة ، تحميل API في وقت التشغيل)
  9. C meterpreter / reverse_HTTPS VirtualAlloc (x86 / x64): 32/64 bit windows / meterpreter / reverse_http polemorphic stager المكتوبة بلغة c (تتطلب مستمع متعدد / معالج مع مجموعة من الحمولة إلى windows / متر / back_https (إذا كان x86) - windows / x64 / meterpreter / reverse_https (إذا كان x64) ، والذاكرة: Virtual)
  10. C meterpreter / reverse_HTTPS HeapAlloc (x86 / x64): 32/64 bit windows / meterpreter / reverse_http polemorphic stager المكتوبة بلغة c (تتطلب مستمع متعدد / معالج مع مجموعة من الحمولة إلى windows / متر / back_https (إذا كان x86) - windows / x64 / متر / reverse_https (إذا كان x64) ، والذاكرة: كومة)
  11. C meterpreter / reverse_HTTPS VirtualAlloc NoDirectCall GPAGMH (x86 / x64): 32/64 bit windows / meterpreter / reverse_http polymorphic stager المكتوبة بلغة c (تتطلب مستمع متعدد المناولة / المعتمد مع الحمولة المضبوطة على windows / متر / back_https (إذا كان x86) - windows / x 64 / متر / reverse_https (إذا كان x64) ، API تحميلها في وقت التشغيل)
  12. C meterpreter / reverse_HTTPS HeapAlloc NoDirectCall GPAGMH (x86 / x64): 32/64 bit windows / meterpreter / reverse_http polemorphic stager المكتوبة بلغة c (تتطلب مستمع متعدد المناولة / المعتمد مع مجموعة من الحمولة إلى windows / متر / back_https (إذا كان x86) - windows / x 64 / متر / reverse_https (إذا كان x64) ، الذاكرة: كومة ، تحميل API في وقت التشغيل)

Powershell / Wine-Pyinstaller وحدات
بوويرشيل وحدات:
(>) العشوائية junkcode و windows مكافحة الفيروسات التهرب من تقنيات (>) Decoy Process Spawner المتوفرة (انظر phantom evasion decoy process spawner section) (>) Strip executable available ( https://en.wikipedia.org/wiki/Strip_(Unix) ) (>) نطاق التنفيذ: 35-60 ثانية
  1. Windows Powershell / Cmd Oneliner Dropper: يلزم توفر حمولة محمولة من Powershell / Cmd موفر من قبل المستخدم (على سبيل المثال ، حمولة Emine oneliner). توليد ويندوز powershell / Cmd oneliner قطارة مكتوبة في ج. يتم تنفيذ الحمولة النافعة Powershell / Cmd oneliner باستخدام وظيفة system ().
  2. Windows Powershell Script Dropper: يدعم كلا الحمولات msfvenom و powershell المخصصة. (32 حمولة powershell 32 بت غير متوافقة مع الهدف بوويرشيل 64 بت والعكس بالعكس.) توليد ويندوز سكريبت powershell (.ps1) قطارة مكتوبة في ج. يتم تنفيذ حمولة البرنامج النصي Powershell باستخدام وظيفة system () (powershell -executionpolicy bypass -WindowStyle Hidden -Noexit -File "PathTops1script").
وحدات Wine-Pyinstaller:
(>) العشوائي junkcode وتقنيات مكافحة الفيروسات ويندوز التهرب (>) نطاق التنفيذ: 5-25 الثانية (>) يتطلب تثبيت python و pyinstaller في النبيذ.
  1. ويندوز WinePyinstaller بايثون متر متر
بيثون بيثون متر حمولة.
  1. WinePyinstaller قطارة حمولة الساقية
بيثون بيور نقية / cmd oneliner بالقطارة.
تم تنفيذ حمولة Powershell / cmd باستخدام os.system ().

LINUX PAYLOADS

وحدة حقن لينكس لرقائق القشرة (C)
يتم دعم الحمولات المحمولة من نوع Msfvenom linux و shellcodes المخصصة.
(>) العشوائية junkcode و C برامج مكافحة الفيروسات (>) متعددة المشفرات Xor مشفرات availables (راجع قسم ترميز Xor متعدد الجسيمات) (>) الشريط القابل للتنفيذ المتاحة ( https://en.wikipedia.org/wiki/Strip_(Unix) ) ( >) نطاق التنفيذ: 20-45 ثانية
  1. Linux Shellcode Injection HeapAlloc: حقن وتنفيذ shellcode في الذاكرة باستخدام mmap و memcpy.
  2. Linux Bash Oneliner Dropper: تنفيذ حمولة oneliner مخصصة باستخدام وظيفة system ().

OSX PAYLOADS
  1. OSX 32bit متعددة التشفير:
نواتج OSX محسنة متعددة المشفرة.

ANDROID PAYLOADS
  1. Android Msfvenom APK smali / baksmali:
(>) حلقة حقن وهمية (>) حلقة غوتو
تعديل حمولات msfvenom الروبوت إعادة بناء مع apktool (قادرة أيضا على حقن خلفية مستتر).

UNIVERSAL PAYLOADS
إنشاء برنامج متوافق متوافق مع أنظمة التشغيل المستخدمة لتشغيل Phantom-Evasion.
  1. زيادات متر PMpreter العالمي
  2. عالمي متعدد الأشكال متر متر
  3. عالمي متعدد الأشكال Oneliner قطارة

POST-EXPLOITATION MODULES
  1. Windows Persistence RegCreateKeyExW إضافة مفتاح التسجيل (C) هذه الوحدات النمطية تولد الملفات التنفيذية التي تحتاج إلى تحميلها على الجهاز المستهدف ، وتحت عنوان محدد المسار الكامل لإضافة إلى بدء التشغيل كوسائط.
  2. Windows Persistence REG إضافة مفتاح التسجيل (CMD) تعمل هذه الوحدة على توليد حمولات cmdline المستمرة (إضافة مفتاح التسجيل عبر REG.exe).
  3. Windows Persistence Keep Process Alive تولد هذه الوحدة التنفيذية القابلة للتنفيذ والتي تحتاج إلى تحميلها إلى الجهاز المستهدف وتنفيذها. استخدم CreateToolSnapshoot ProcessFirst و ProcessNext للتحقق مما إذا كانت العملية المحددة على قيد الحياة كل X ثانية. مفيد جنبا إلى جنب مع استمرار N.1 أو N.2 (بداية استمرار إبقاء العملية على قيد الحياة الملف الذي يبدأ ثم يبقي على قيد الحياة في العملية المحددة)
  4. ثبات ويندوز
هذه الوحدات تولد استمرار الحمولة cmdline (باستخدام Schtasks.exe).
  1. تعيين ملفات ويندوز سمة مخفي
إخفاء الملف من خلال سطر الأوامر أو مع الملف التنفيذي المترجم (SetFileAttributes API)

تحذير
توافق PYTHON3 TEMPORARILY!

عمليات طرائد الفقير:
أثناء تنفيذ الهدف ، سيؤدي هذا إلى تفرخ (باستخدام WinExec أو CreateProcess API) بحد أقصى 4 عمليات مترددة. سوف تصل العملية الأخيرة التي تم التوصل إليها إلى مقطع ضار من التعليمات البرمجية في حين أن عمليات الطعم الأخرى التي تم إنشاؤها قبل تنفيذ التعليمات البرمجية العشوائية العشوائية فقط.
PRO: وقت تنفيذ أطول ، وانخفاض معدل الكشف. CONS: زيادة استهلاك الموارد.

ترميز Xor متعدد الشفرات:
مشفّر C xor بثلاث شفرات جليّة لفك الشفرة متوفرة مع وحدات حقن Shellcode.
  1. MultibyteKey xor:
Shellcode xored مع مفتاح عشوائي واحد multibyte (متغير lenght). فك ترميز C متعدد الأشكال.
  1. مضاعف متعدد البايتات xor:
Shellcode xored مع نتيجة xor بين اثنين من multibyte (متفاوتة الطول) مفاتيح عشوائية Polymorphic C فك الترميز.
  1. ثلاثية الأقراص متعددة البايتات xor:
محسوبة Shellcode مع نتيجة xor بين اثنين من multibyte (متغير طول الطول) مفاتيح عشوائية xored مع مفتاح عشوائي multibyte الثالث. فك ترميز C متعدد الأشكال.


Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

-
Image
Dumpzilla - استخراج جميع معلومات الطب الشرعي مثيرة للاهتمام من متصفحات فايرفوكس ، Iceweasel و Seamonkey Dumpzilla الموقع الرسمي   : [www.dumpzilla.org] (   http://www.dumpzilla.org   "موزيلا متصفح   الطب الشرعي   أداة") Manual   : [Español] (   http://dumpzilla.org/Manual_dumpzilla_es.txt   "Manual en español de dumpzilla") / [إنجليزي] (   http://dumpzilla.org/Manual_dumpzilla_en.txt   "Dumpzilla english Manual") SO   : يونكس / وين لقطات الشاشة   : [Dummpzilla] (   http://dumpzilla.org/Screenshots/screenshots.html   "لقطات شاشة dumpzilla") تم تطوير تطبيق Dumpzilla في بيثون 3.x و له استخراج الغرض وجميع معلومات مثيرة للاهتمام الطب الشرعي من فايرفوكس، Iceweasel وسيمانكي   المتصفحات   لتحليلها.   نظرًا لتطويره في Python 3.x ، فقد لا يعمل بشكل صحيح في إصدارات Python القديمة ، خاصة مع بعض الأحرف.   يعمل تحت أنظمة Unix و   Windows   32/64 بت. يعمل في   واجهة   سطر الأوامر   ، بحيث يمكن إعادة توجيه عمليات تفريغ المعلوم
Lire la suite
-
Image
Ethereum Classic (ETC) تم تسجيله بواسطة هجوم مضاعف بقيمة 1.1 مليون دولار لماذا هذا الهجوم يتعلق؟  أسفرت عملية السرقة عن خسارة بقيمة 1.1 مليون دولار من عملة  Classic الرقمية.  انخفضت العملة الرقمية على الفور في السعر بعد صدور الخبر.  كشفت Coinbase يوم الاثنين أنها حددت "إعادة تنظيم سلسلة عميقة" من blockchain Ethereum الكلاسيكية (أو هجوم 51 في المئة من الشبكة) ، مما يعني أن شخص ما يسيطر على غالبية عمال المناجم على الشبكة (أكثر من 50 ٪) قد تعديل تاريخ المعاملة. بعد إعادة تنظيم blockchain Ethereum ، كان المهاجمون قادرين على ما يطلق عليه "إنفاق مزدوج" حول 219،500 ETC باستعادة العملات التي تم صرفها من قبل من المستلمين الشرعيين ونقلهم إلى كيانات جديدة اختارها المهاجمون (عادة ما تكون محفظة في سيطرتهم). "لاحظنا تكرار إعادة تنظيم عميقة من blockchain Ethereum الكلاسيكية، ومعظمها الواردة ضعف تنفق" قال المهندس الأمن Coinbase كافة نيسبيت في  بلوق وظيفة  .  "القيمة الإجمالية للإنفاق المزدوج الذي لاحظناه حتى الآن هي
Lire la suite
-
Image
Metasploit 5.0 - إطار اختبار الاختراق الأكثر استخدامًا في  العالم المعرفة قوة ، خاصة عندما تكون مشتركة. يساعد التعاون بين مجتمع المصدر المفتوح و Rapid7 ، Metasploit فرق الأمان على القيام بأكثر من مجرد التحقق من نقاط الضعف ، وإدارة تقييمات الأمان ، وتحسين الوعي الأمني ​​؛ إنه يمنح المدافعين عن الأسلحة ويبقون على الدوام خطوة واحدة (أو اثنتين) قبل المباراة. أعلنت Rapid7 عن إطلاق Metasploit 5.0 ، الإصدار الجديد يتضمن العديد من الميزات الجديدة الهامة ، وتعتقد الشركة أنه سيكون أسهل في الاستخدام وأكثر قوة. Metasploit هو إطار اختبار الاختراق الأكثر استخدامًا ولديه أكثر من 1500 وحدة تقدم وظائف تغطي كل مرحلة من مراحل اختبار الاختراق ، مما يجعل حياة اختبار الاختراق أسهل نسبيًا. تتضمن أهم التغييرات التي تم إدخالها في Metasploit 5.0 على قواعد بيانات جديدة وأوتومات واجهات برمجة التطبيقات التلقائية ، ووحدات التهرب والمكتبات ، ودعم اللغة ، وتحسين الأداء. Metasploit 5.0 متوفر حاليًا من مشروع GitHub الرسمي. يقول Rapid7 إنه في
Lire la suite