EXOCET Entrega de Payload Indetectable y Evasora de AV
EXOCET Entrega de Payload Indetectable y Evasora de AV
Hacking
·4 Minutos de lectura

EXOCET: Herramienta Entrega de Payload Indetectable y Evasora de AV

EXOCET es superior a los módulos “Evasive Payloads” de Metasploit ya que EXOCET utiliza AES-256 en modo GCM (Galois/Counter Mode). Los “Evasive Payloads” de Metasploit utilizan un cifrado RC4 fácil de detectar. Mientras que RC4 puede descifrar más rápido, AES-256 es mucho más difícil de averiguar la intención del malware.

Payload FUD con EXOCET
Payload FUD con EXOCET

Sin embargo, es posible usar Metasploit para construir un Payload Evasivo, y luego encadenarlo con EXOCET. Así que EXOCET descifrará a través de AES-256, y luego la carga útil evasiva de Metasploit se descifra a sí misma desde RC4.

Tabla de Contenido

Descripción de Exocet

EXOCET, es efectivamente un dropper de malware de tipo crypter que puede reciclar payloads fácilmente detectables como WannaCry, encriptarlos usando AES-GCM (Galois/Counter Mode), que es más seguro que AES-CBC, y luego crear un archivo dropper para la mayoría de las arquitecturas y plataformas existentes.

Básicamente…

  • Ingesta el malware peligroso que ahora es detectable por los motores antivirus
  • Luego los encripta y produce su propio archivo Go
  • Entonces ese archivo Go puede ser compilado de forma cruzada para el 99% de las arquitecturas conocidas
  • Tras la ejecución, la carga útil cifrada se escribe en el disco y se ejecuta inmediatamente en la línea de comandos
  • Alternativamente, en lugar de un arrastrar-soltar, se ejecutará el shellcode reconstituido en memoria usando el módulo go-memexec de amenzhinsky github.com/amenzhinsky/go-memexec
  • Se está trabajando en un ejecutor de shellcode personalizado, que toma shellcode C ordinario y después de la transformación numérica, lo ejecutará creando un nuevo proceso después de asignar el espacio de direcciones virtuales correcto y concederle permisos RWX en Windows

Esto significa arquitecturas de 32 y 64 bits, y funciona en Linux, Windows, Macs, Unix, Android, iPhone, etc. Se puede tomar cualquier cosa, y me refiero a CUALQUIER cosa, como el Gusano Morris de 1988 que casi derribó Internet (que explotó un defecto en el demonio de escucha fingerd en UNIX), y convertirlo en un arma cibernética viable de nuevo.

EXOCET está diseñado para ser utilizado con el Programa DSX, o el “Cyber Metal Gear”. Siendo capaz de lanzar y proliferar malware peligroso sin un rastro de lanzamiento rastreable.

Información

EXOCET está escrito completamente en Go.

Cómo Utilizarlo

EXOCET, independientemente del binario que utilices para ejecutarlo, requiere Golang para funcionar. Por defecto, genera un archivo crypter .go.

  • Usuarios de Windows: Instalar Golang aquí
  • Usuarios de Linux: ejecutar
sudo apt-get update && sudo apt-get install -y golang
  • Debes instalar los archivos fuente de EXOCET en golang:
go get github.com/tanc7/EXOCET-AV-Evasion
  • También se descargarán e instalarán los sub-requisitos
  • Para los usuarios de Windows y Mac x64, los binarios precompilados están en la carpeta /bin

Para Ejecutarlo

Ejecución de ejemplo de EXOCET
Ejecución de ejemplo de EXOCET
go run EXOCET.go detectablemalware.exe outputmalware.go

Se genera automáticamente una clave para ti. La clave tiene 64 caracteres y está compuesta en su totalidad por redireccionadores pipe de shell bash y cmd.exe para confundir e interrumpir los intentos de fuerza bruta contra la clave, provocando un comportamiento impredecible y destructivo en el dispositivo del analista forense.

  • Para objetivos de Windows de 64 bits…
env GOOS=windows GOARCH=amd64 go build -ldflags "-s -w" -o outputMalware.exe outputmalware.go

Y resulta un archivo outputmalware.exe

  • Para objetivos MacOS de 64 bits
env GOOS=darwin GOARCH=amd64 go build -ldflags "-s -w" -o outputMalware.macho outputmalware.go
  • Para objetivos Linux de 64 bits
env GOOS=linux GOARCH=amd64 go build -ldflags "-s -w" -o outputMalware.elf outputmalware.go

Echa un vistazo a esta referencia en GitHub para sus parámetros para otros sistemas operativos como Android: Reference for Go Cross Compilation

Ten en cuenta que la clave todavía se puede encontrar con el comando strings, por favor, utiliza el comando upx-ucl para empaquetar binarios para ocultar la clave.

Además, hay binarios pre-construidos, lo que significa que sólo tienes que ejecutar ./EXOCET o EXOCET-Windows.exe

Chang Tan, y los creadores del módulo principal y los submódulos de Exocet y los paquetes que incorpora NO son responsables del mal uso de esta herramienta. Esta es simplemente una herramienta de pruebas de penetración. Está estrictamente prohibido desplegar los binarios de salida de Exocet contra sistemas protegidos no autorizados o sistemas gubernamentales protegidos no autorizados.

El autor es consciente de que los actores de amenazas de APT41 y el Grupo NSO han utilizado y/o adoptado el código de esta herramienta, particularmente el método go-memexec. El autor no reclama ninguna responsabilidad.

Esto es lo mismo que les ocurrió a los desarrolladores de Mimikatz y PowerShell Empire (que abandonaron su propio desarrollo al darse cuenta de su uso entre los actores de amenazas). Los sucesores han retomado el desarrollo de Empire, y existen alternativas gratuitas como Covenant C2.

Dark Mode

EXOCET-AV-Evasion (este enlace se abre en una nueva ventana) por tanc7 (este enlace se abre en una nueva ventana)

EXOCET – AV-evading, undetectable, payload delivery tool

20 suscriptores 781 observadores 144 forks Echa un vistazo a este repositorio en GitHub.com (este enlace se abre en una nueva ventana)

Mi Carro Close (×)

Tu carrito está vacío
Ver tienda