Hola a todos,
Quería rpeguntar si alguien sabe como hacer para que el antivirus no detecte el archivo eternal11.dll generado por {este exploit ya que cuando lo detecta interrumpe la conexión! Estuve viendo que metasploit tiene un encoder dentro de las opciones de éste exploit, pero no se bien como usarlo o como combinar los diferecntes encoders! Si alguine me puede ayudar se lo agradeceré! Saludos! :)
msf > use exploit/windows/smb/eternalblue_doublepulsar
msf exploit(windows/smb/eternalblue_doublepulsar) > show encoders
Compatible Encoders
===================
Name Disclosure Date Rank Check Description
---- --------------- ---- ----- -----------
generic/eicar manual No The EICAR Encoder
generic/none normal No The "none" Encoder
x64/xor normal No XOR Encoder
x64/xor_dynamic normal No Dynamic key XOR Encoder
x64/zutto_dekiru manual No Zutto Dekiru
x86/add_sub manual No Add/Sub Encoder
x86/alpha_mixed low No Alpha2 Alphanumeric Mixedcase Encoder
x86/alpha_upper low No Alpha2 Alphanumeric Uppercase Encoder
x86/avoid_underscore_tolower manual No Avoid underscore/tolower
x86/avoid_utf8_tolower manual No Avoid UTF8/tolower
x86/bloxor manual No BloXor - A Metamorphic Block Based XOR Encoder
x86/bmp_polyglot manual No BMP Polyglot
x86/call4_dword_xor normal No Call+4 Dword XOR Encoder
x86/context_cpuid manual No CPUID-based Context Keyed Payload Encoder
x86/context_stat manual No stat(2)-based Context Keyed Payload Encoder
x86/context_time manual No time(2)-based Context Keyed Payload Encoder
x86/countdown normal No Single-byte XOR Countdown Encoder
x86/fnstenv_mov normal No Variable-length Fnstenv/mov Dword XOR Encoder
x86/jmp_call_additive normal No Jump/Call XOR Additive Feedback Encoder
x86/nonalpha low No Non-Alpha Encoder
x86/nonupper low No Non-Upper Encoder
x86/opt_sub manual No Sub Encoder (optimised)
x86/service manual No Register Service
x86/shikata_ga_nai excellent No Polymorphic XOR Additive Feedback Encoder
x86/single_static_bit manual No Single Static Bit
x86/unicode_mixed manual No Alpha2 Alphanumeric Unicode Mixedcase Encoder
x86/unicode_upper manual No Alpha2 Alphanumeric Unicode Uppercase Encoder
x86/xor_dynamic normal No Dynamic key XOR Encoder
Esto es una pregunta y como tal debe ir en preguntas y respuestas.
:P
en cuanto a tu pregunta:
https://www.offensive-security.com/metasploit-unleashed/Msfvenom/
root@kali:~# msfvenom -h
Options:
......
-e, --encoder The encoder to use
....
@RxB (https://underc0de.org/foro/index.php?action=profile;u=49994)
Si no me equivoco estas usando el módulo integrado por defecto en metasploit, te recomiendo usar el de eleven path: https://github.com/ElevenPaths/Eternalblue-Doublepulsar-Metasploit
Lo probé hace un tiempo con Avast instalado y funcionando con todas las características en excepción del firewall y el firewall de Windows.
Gracias por tu respuesta, pero estoy utilizando el mismo módulo que mencionás. Al utilizarlo crea el dll y lo inyecta (según tengo entendido). Lo que no sé es como modificar el dll con los encoders. Ya que si yo modifico el dll, cuand ejecute nuevamente el exploit se va a generar un nuevo dll y va a reemplazar el mío!
@RxB (https://underc0de.org/foro/index.php?action=profile;u=49994)
Ve el código fuente de el modulo, buscas la línea donde genera la dll y la comentas, la eliminas o alguna acción para que no se genere y supongo que el nombre debe estar en una variable o un dato predefinido, intenta colocar la ruta de donde la dll generada por la tuya.
Te recomiendo que uses el framework fuzzbunch.
Gracias!!! LO VOY A PROBAR Y LUEGO COMENTO!
Hasta donde yo sé, los encoders que utiliza msfvenom son completamente detectables por los antivirus de hoy en día. Claro, no estoy seguro, pero te digo que la mayoría que probé fueron detectados. Y si quieres hacerlo más indetectable, ten cuidado con la cantidad de iteraciones que le des, porque puede romperlo. Saludos!
pero msfvenom tambien lo detectanlos antivirus