Eternalblue & double_pulsar ayuda!!!!

Iniciado por RxB, Enero 14, 2019, 07:16:18 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Enero 14, 2019, 07:16:18 PM Ultima modificación: Enero 14, 2019, 09:52:09 PM por Gabriela
Hola a todos,
Quería rpeguntar si alguien sabe como hacer para que el antivirus no detecte el archivo eternal11.dll generado por {este exploit ya que cuando lo detecta interrumpe la conexión! Estuve viendo que metasploit tiene un encoder dentro de las opciones de éste exploit, pero no se bien como usarlo o como combinar los diferecntes encoders! Si alguine me puede ayudar se lo agradeceré!  Saludos!  :)

msf > use exploit/windows/smb/eternalblue_doublepulsar
msf exploit(windows/smb/eternalblue_doublepulsar) > show encoders

Compatible Encoders
===================

   Name                          Disclosure Date  Rank       Check  Description
   ----                          ---------------  ----       -----  -----------
   generic/eicar                                  manual     No     The EICAR Encoder
   generic/none                                   normal     No     The "none" Encoder
   x64/xor                                        normal     No     XOR Encoder
   x64/xor_dynamic                                normal     No     Dynamic key XOR Encoder
   x64/zutto_dekiru                               manual     No     Zutto Dekiru
   x86/add_sub                                    manual     No     Add/Sub Encoder
   x86/alpha_mixed                                low        No     Alpha2 Alphanumeric Mixedcase Encoder
   x86/alpha_upper                                low        No     Alpha2 Alphanumeric Uppercase Encoder
   x86/avoid_underscore_tolower                   manual     No     Avoid underscore/tolower
   x86/avoid_utf8_tolower                         manual     No     Avoid UTF8/tolower
   x86/bloxor                                     manual     No     BloXor - A Metamorphic Block Based XOR Encoder
   x86/bmp_polyglot                               manual     No     BMP Polyglot
   x86/call4_dword_xor                            normal     No     Call+4 Dword XOR Encoder
   x86/context_cpuid                              manual     No     CPUID-based Context Keyed Payload Encoder
   x86/context_stat                               manual     No     stat(2)-based Context Keyed Payload Encoder
   x86/context_time                               manual     No     time(2)-based Context Keyed Payload Encoder
   x86/countdown                                  normal     No     Single-byte XOR Countdown Encoder
   x86/fnstenv_mov                                normal     No     Variable-length Fnstenv/mov Dword XOR Encoder
   x86/jmp_call_additive                          normal     No     Jump/Call XOR Additive Feedback Encoder
   x86/nonalpha                                   low        No     Non-Alpha Encoder
   x86/nonupper                                   low        No     Non-Upper Encoder
   x86/opt_sub                                    manual     No     Sub Encoder (optimised)
   x86/service                                    manual     No     Register Service
   x86/shikata_ga_nai                             excellent  No     Polymorphic XOR Additive Feedback Encoder
   x86/single_static_bit                          manual     No     Single Static Bit
   x86/unicode_mixed                              manual     No     Alpha2 Alphanumeric Unicode Mixedcase Encoder
   x86/unicode_upper                              manual     No     Alpha2 Alphanumeric Unicode Uppercase Encoder
   x86/xor_dynamic                                normal     No     Dynamic key XOR Encoder



Esto es una pregunta y como tal debe ir en preguntas y respuestas.

:P


en cuanto a tu pregunta:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Código: php

root@kali:~# msfvenom -h

Options:
   ......
    -e, --encoder            The encoder to use
    ....

@No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Si no me equivoco estas usando el módulo integrado por defecto en metasploit, te recomiendo usar el de eleven path: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Lo probé hace un tiempo con Avast instalado y funcionando con todas las características en excepción del firewall y el firewall de Windows.
PGP :: <D82F366940155CB043147178C4E075FC4403BDDC>

~ DtxdF

Gracias por tu respuesta, pero estoy utilizando el mismo módulo que mencionás. Al utilizarlo crea el dll y lo inyecta (según tengo entendido). Lo que no sé es como modificar el dll con los encoders. Ya que si yo modifico el dll, cuand ejecute nuevamente el exploit se va a generar un nuevo dll y va a reemplazar el mío!

@No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Ve el código fuente de el modulo, buscas la línea donde genera la dll y la comentas, la eliminas o alguna acción para que no se genere y supongo que el nombre debe estar en una variable o un dato predefinido, intenta colocar la ruta de donde la dll generada por la tuya.

Te recomiendo que uses el framework fuzzbunch.
PGP :: <D82F366940155CB043147178C4E075FC4403BDDC>

~ DtxdF

Gracias!!! LO VOY A PROBAR Y LUEGO COMENTO!

Hasta donde yo sé, los encoders que utiliza msfvenom son completamente detectables por los antivirus de hoy en día. Claro, no estoy seguro, pero te digo que la mayoría que probé fueron detectados. Y si quieres hacerlo más indetectable, ten cuidado con la cantidad de iteraciones que le des, porque puede romperlo. Saludos!

pero msfvenom tambien lo detectanlos antivirus