Con questo post passiamo all’utilizzo di ShellCodeEncryptor per AntiVirus-bypass.
Generiamo un .Net binario contenente il nostro shellcode codificato in base64 e crittografato AES ed eseguiamolo sul target Windows 10 by-passando l’AntiVirus.
Vi riassumo i passaggi del PoC:
- Utilizziamo lo script in python: shellcode_encryptor.py per generare il nostro ShellCode e la relativa key, codificato in base64 e criptato.
- Editiamo il nostro ProcessInjection.cs scritto in C Sharp, aggiungendo alla riga 49 e 51, rispettivamente lo ShellCode appena generato e la chiave.
- Da una macchina Windows compiliamo ProcessInjection.cs, generando il suo eseguibile: ProcessInjection.exe
- Dalla macchina attaccante avviamo il servizio apache e copiamo il file ProcessInjection.exe nella folder /var/www/html
- Eseguiamo l’injection dell’eseguibile nel processo PowerShell remoto, sulla macchina vittima
Download al link:
https://github.com/plackyhacker/Shellcode-Encryptor