Luckystrike: Generator Dokumen Kantor Berbahaya yang ditulis dalam Powershell

  • Whatsapp
Luckystrike: Generator Dokumen Kantor Berbahaya yang ditulis dalam Powershell
Luckystrike: Generator Dokumen Kantor Berbahaya yang ditulis dalam Powershell
Tentang Luckystrike
Luckystrike adalah generator kejahatan berbasis PowerShell .xls dokumen (segera .dokter). Semua muatan Anda disimpan ke dalam database untuk pengambilan & penyematan yang mudah ke dalam dokumen baru atau yang sudah ada. Luckystrike memberi Anda beberapa metode infeksi yang dirancang untuk menjalankan muatan Anda tanpa membuat AV tersandung. Lihat bagian Instalasi di bawah ini untuk petunjuk tentang memulai.

Instalasi
   Unduh, unzip dan buka folder.
Lari .install.ps1 dengan Powershell.
Lari.luckystrike.ps1 untuk menggunakan Luckystrike.

Mulai
Luckystrike memungkinkan Anda bekerja dengan tiga jenis muatan: perintah shell standar, skrip PowerShell, dan executable (.exe). Payload yang Anda tambahkan disimpan dalam katalog, file database sqlite yang dapat digunakan berulang kali, atau dibagikan di antara rekan satu tim. Setiap kali Anda memilih payload yang akan digunakan, Anda juga harus memilih jenis infeksi, atau cara payload akan dijalankan. Anda dapat menginfeksi dokumen dengan beberapa muatan dari jenis infeksi yang berbeda.

Mari kita mulai dengan menambahkan payload perintah shell sederhana untuk memulai calc.exe:


Lari luckystrike.ps1 dan pilih opsi 2 untuk Opsi Katalog. Tambahkan payload ke katalog dengan tipe payload 1 (Shell Command). Perintah shell dijalankan persis seperti yang Anda miliki (termasuk karakter escape), jadi masukkan teks dengan hati-hati.

   Sekarang setelah kita memiliki muatan yang dibuat, mari kita pilih dan buat file jahat kita!

Kembali ke menu utama dan pilih opsi 1 (Opsi Muatan), lalu pilih jenis infeksi yang akan digunakan. Dalam hal perintah Shell, hanya ada satu jenis (exec DDE segera hadir!):

Bacaan Lainnya

Petunjuk: Tekan “98” untuk melihat bantuan untuk jenis infeksi.

   Sejauh ini Anda telah menambahkan payload ke katalog, lalu memilihnya untuk dimasukkan ke dalam file. Luckystrike dibuat sehingga Anda dapat menambahkan beberapa muatan dengan beberapa jenis infeksi ke satu .xls yang terinfeksi, tetapi lebih lanjut tentang itu nanti. 🙂

Sekarang mari kita buat filenya. Pilih Opsi File dari menu utama, lalu buat file.

   Luckystrike juga akan menginfeksi yang ada .xls dokumen jika Anda sudah memiliki template yang Anda sukai (Opsi File > 2). Bahkan jika mereka sudah berisi kode makro, luckystrike akan membuat CodeModule baru dan menambahkan panggilan Auto_Open yang ada (tentu saja memastikan payload nakal dipanggil terlebih dahulu). Perhatikan ini bukan ilmu yang sempurna sehingga sesuatu mungkin mendapatkan foobar dalam prosesnya. Luckystrike tidak akan bermain-main dengan dokumen Anda yang ada. Semua file .xls baru disimpan ke ./luckystrike/payloads direktori.
Buka file & klik Aktifkan Konten. Anda harus melihat calc.exe Buka. Hore!

Lihat kode makronya:

   Sederhana, lugas. Perhatikan bahwa Anda bertanggung jawab atas karakter pelarian, jadi melangkahlah dengan hati-hati. Payload awalnya digunakan “Wscript.Shell” sebagai string objek buat, tetapi itu diambil oleh 3/36 (nodistribute.com), terutama Windows Defender. Cukup dengan membuat string yang menggabungkan huruf-huruf itu menanganinya. Terima kasih Microsoft!

Itu adalah contoh yang paling sederhana. Kode makro hanya menjadi lebih rumit dari sana. Yang mengatakan, berikut adalah jenis infeksi yang dipecah berdasarkan jenis muatan:

Jenis Infeksi
1, Perintah Shell
      Perintah Shell: Apa yang Anda lihat di atas. Cukup gunakan Wscript.Shell untuk menjalankan perintah. Perintah shell yang dijalankan melalui powershell atau cmd.exe tidak memunculkan jendela perintah di tampilan pengguna. Lebih mungkin untuk tertangkap oleh Anti Virus.
      Metadata: Menyematkan muatan ke dalam metadata file, khususnya bidang Subjek. Metode satu liner diaktifkan di makro untuk mengeksekusi apa pun yang ada di metadata. Tingkat deteksi sangat rendah!

2, Skrip PowerShell. [Catatan:SEMUA[Note:ALL.ps1 file yang Anda simpan sebagai muatan harus tidak dikodekan! Luckystrike akan menyandikan b64 jika perlu)
   SelSematkan: “Pergi ke” Anda untuk menembak .ps1 skrip. Menyematkan skrip ps1 yang disandikan base64 ke dalam sel yang dipecah menjadi beberapa bagian. String Legend dikaitkan dengan payload sehingga dapat direkonstruksi saat runtime. Payload bisa ada di mana saja pada lembar yang bisa diterapkan, tetapi akan mulai, minimal, Kolom 150 & Baris 100. Muatan base64 disimpan ke disk di C:usersuseridAppDataRoamingMicrosoftAddIns sebagai .txt mengajukan. Makro membaca dalam file teks kemudian diaktifkan dengan PowerShell.
   SelEmbedNonBase64:Penyematan sama dengan #1 di atas, tetapi tidak dikodekan base64. Script dibaca langsung dari sel dan diaktifkan melalui PowerShell. Jangan pernah menyentuh disk. Direkomendasikan!
   CellEmbed-Encrypted: Favorit pribadi. Saat memilih ini, Anda akan diminta untuk nama domain email target Anda. Contoh, jika target Anda adalah [email protected]luar biasa.com, maka Anda akan menggunakan luar biasa.com (tanpa tanda kutip) sebagai string itu, meskipun berbeda dari url web utama mereka! Alasan untuk ini adalah luckystrike akan mengenkripsi file ps1 RC4 (dengan domain email sebagai kuncinya) sebelum disematkan. Kode makro kemudian akan mengambil alamat email pengguna dari Active Directory, membagi string, dan mendekripsi payload sebelum dijalankan. Jika vendor AV mendapatkan payload, mereka tidak akan dapat mendekripsi dan menjalankannya.

3, Dapat Dieksekusi
   Certutil: Berdasarkan @mattiffestationpekerjaan yang sangat baik (di sini), serangan ini menyematkan biner yang disandikan base64 ke dalam sel, lalu menyimpannya sebagai .txt file ke disk, menggunakan certutil untuk memecahkan kode payload & simpan sebagai .exe. Exe kemudian dipecat.
   Simpan Ke Disk: Apa yang Anda pikirkan. Exe disimpan ke disk kemudian dipecat. Mudah.
   ReflektifPE: Nakal! Keduanya .exe dan salinan Invoke-ReflectivePEInjection (di sini) disimpan ke disk sebagai file txt. Exe kemudian dipecat menggunakan Invoke-ReflectivePEInjection. Pastikan untuk menguji yang satu ini! Sangat penting untuk mengetahui arsitektur target Anda vs muatan yang Anda gunakan. Selain itu, saya sarankan untuk menguji .exe dengan Invoke-ReflectivePEInjection sebelum menyematkan seolah-olah Anda .exe tidak sesuai dengan ASLR/DEP, serangan tidak akan berfungsi (saya tidak menggunakan -ForceASLR). Sisi positifnya, hanya file .txt yang ditulis ke %DATA APLIKASI%, jadi mereka yang hanya mengandalkan pemblokiran eksekusi dari appdata kurang beruntung!

Dunia nyata
Popping calc itu keren dan semuanya, tapi bagaimana dengan tes dunia nyata. Mari kita sematkan payload meterpreter metasploit kustom serta stager kerajaan ke dalam template dokumen Excel *yang sudah ada*.

1, Buat exe Anda dengan msfvenom (Anda menggunakan template msf yang dibuat khusus untuk menghindari Anti-Virus kan?? 🙂
2, Standup pendengar msf Anda serta pendengar kerajaan Anda.

3, peluncur enkode base64 Decode Empire (ingat, semua .ps1 harus dimuat ke dalam luckystrike yang didekodekan).

Decoding teks peluncur kekaisaran. Kami akan menggunakan empire-launcher.ps1 sebagai impor kami ke luckystrike.

4, Luncurkan luckystrike dan tambahkan exe msf sebagai payload yang dapat dieksekusi:


5, Tambahkan stager kekaisaran yang didekodekan sebagai muatan PowerShell Script.


6, Pilih kedua muatan untuk disematkan. Untuk tes ini kita akan menggunakan tipe infeksi Certutil exe dan tipe infeksi ps1 CellEmbed-Encrypted.

7, Pilih menu File Options, kemudian menginfeksi dokumen xls yang sudah ada yang berisi makro. Bersandar di kursi Anda dan tersenyum …. jahat …..

8, Kirim email Anda ke [email protected]luar biasa.com (resmi tentunya). Kemudian tunggu Bob melupakan semua pelatihan keamanannya dan derp-buka lampirannya.


Fitur yang direncanakan:
* Dukungan dokumen Word (tidak akan sekuat Excel, tetapi akan berfungsi).
* Kemampuan untuk menyimpan template Anda dalam database.
* “Serangan cepat”: Menyimpan pilihan jenis muatan & infeksi Anda untuk akses mudah.

* Jenis infeksi baru yang sangat jahat dan penghindaran Anti-Virus/kotak pasir.

Jika Anda memiliki masalah …
* Jalankan luckystrike dengan sakelar -Debug. Ini akan menghasilkan file .log debug di direktori luckystrike.
* Reproduksi masalah.
* Ambil tangkapan layar dari kesalahan.
Kirimkan masalah github dengan tangkapan layar & log debug terlampir.

* Sabar. cur0usJack adalah satu orang. 🙂

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *