|
Título: [MSF] (Para terminar) ¿Es menos detectable el stage que el stager? Publicado por: 4v1dy4 en 16 Enero 2023, 00:09 am Hola,
Queria tener un contacto sutil con Metasploit pero creo que sera mas que sutil. Sin embargo esto es lo ultimo que me gustaria preguntar al menos en este comienzo. Logre manipular los shellcodes de Metasploit. Pero ahora me surge la pregunta: Contexto: antes de dedicarme a modificar el ensamblador de las shellcodes, intente cifrar el shellcode antes de ser ejecutado. Tuve exito pero solo con analisis estaticos. El analisis de comportamiento del antivirus aun lo detectaba. Asi que ahora estoy en la tarea de modificar el shellcode por completo. Cuando cifre el shellcode, una vez ejecutandose en memoria el antivirus detecto el stager por comportamiento. ¿Eso quiere decir que si modifico el stager para que sea indetectable, una vez el stager descargue el stage de Metasploit y lo ejecute, no va a igualmente el antivirus detectar, no el stager, pero el stage de Metasploit tambien? ¿O no es asi como funciona la cosa? Eso es lo ultimo que me tiene confundido... ¿Lo "Perfecto" seria entonces modificar un single stage entero y no un stager? Gracias de antemano por su ayuda. Título: Re: [MSF] (Para terminar) ¿Es menos detectable el stage que el stager? Publicado por: 4n0nym0us en 16 Enero 2023, 00:42 am Hola qué tal? Sería mejor unificar ambos stages en uno y evitar así la descarga del segundo, de esa manera la única conexión saliente es la del payload y no la del downloader. Evitas un paso y multitud de rutinas de detección antivirus en memoria que sean genéricas. Probablemente debas de cambiar alguna llamada a las apis ya que en ejecución es fácil que te detecten. Por otro lado si vas a utilizar Meterpreter va a ser más difícil que utilizar una reverse shell convencional. Las shell reversas cifradas también son más indetectables ;)
Título: Re: [MSF] (Para terminar) ¿Es menos detectable el stage que el stager? Publicado por: 4v1dy4 en 16 Enero 2023, 00:59 am Por otro lado si vas a utilizar Meterpreter va a ser más difícil que utilizar una reverse shell convencional. Las shell reversas cifradas también son más indetectables ;) No quiero pasar por iluso, pero un tunel HTTPS debe bastar ¿O no? Por lo que veo, respecto a Metasploit, al menos en terminos de acceso remoto, vale mas la pena desarrollar malware que modificar. Queria experimentar de primera mano la cuestion: ¿Que vale mas la pena, desarrollar o modificar? Título: Re: [MSF] (Para terminar) ¿Es menos detectable el stage que el stager? Publicado por: 4n0nym0us en 16 Enero 2023, 01:12 am Bueno el antivirus podría funcionar a nivel de api hooking, si alguien puede hacer un ataque "man in the middle" son ellos. Si el tráfico de tu conexión viaja con SSL mejor.. pero yo no he probado la opción, siempre utilizo una reverse tcp RC4 de partida.
Depende de las opciones de la herramienta que ya esté desarrollada y del tiempo y recursos que te lleve desarrollar algo igual o mejor. Si quieres innovar es más inteligente desarrollar algo de cero, sino puede ser muy útil modificar algo que ya funciona. Título: Re: [MSF] (Para terminar) ¿Es menos detectable el stage que el stager? Publicado por: 4v1dy4 en 16 Enero 2023, 02:29 am Bueno el antivirus podría funcionar a nivel de api hooking, si alguien puede hacer un ataque "man in the middle" son ellos. Si el tráfico de tu conexión viaja con SSL mejor.. pero yo no he probado la opción, siempre utilizo una reverse tcp RC4 de partida. Depende de las opciones de la herramienta que ya esté desarrollada y del tiempo y recursos que te lleve desarrollar algo igual o mejor. Si quieres innovar es más inteligente desarrollar algo de cero, sino puede ser muy útil modificar algo que ya funciona. Bueno... Sabes que... Ahora que lo mencionas... Realmente no es tan buena idea hacer un tunel con HTTPS. De hecho esto ya lo habia deducido anteriormente y por eso hice mis propios protocolos de red de uso exclusivo para mis programas, fuera malware o no... La tecnologia SSL se implementa dentro de las APIs, asi que tienes razon. |