2018年12月3日星期一

PHANTOM EVASION 2.0

Phantom-Evasion
Phantom-Evasion is an interactive antivirus evasion tool written in python capable to generate (almost) FUD executable even with the most common 32 bit msfvenom payload (lower detection ratio with 64 bit payloads). The aim of this tool is to make antivirus evasion an easy task for pentesters through the use of modules focused on polymorphic code and antivirus sandbox detection techniques. Since version 1.0 Phantom-Evasion also include a post-exploitation section dedicated to persistence and auxiliary modules.

PHANTOM EVASION 2.0

Phantom-Evasion是一个用python编写的交互式防病毒逃避工具,即使使用最常见的32位msfvenom有效负载(64位有效负载的较低检测率),也能生成(几乎)FUD可执行文件。该工具的目的是通过使用专注于多态代码和防病毒沙箱检测技术的模块,使得防病毒逃避成为测试者的一项简单任务。从版本1.0开始,Phantom-Evasion还包括一个专门用于持久性和辅助模块的后期开发部分。



 WINDOWS PAYLOADS

 Windows Shellcode注入模块(C)

支持Msfvenom Windows有效负载和自定义shellcode
(>)随机垃圾码和Windows防病毒逃避技术
(>)提供多字节Xor编码器(参见Multibyte Xor编码器自述文件部分)
(>)Decoy Processes Spawner可用(参见Decoy Process Spawner部分)
(>)剥离可执行文件( https://en.wikipedia.org/wiki/Strip_(Unix) )
(>)执行时间范围:35-60秒
  1. Windows Shellcode Injection VirtualAlloc:使用VirtualAlloc,CreateThread,WaitForSingleObject API在内存中注入和执行shellcode。
  2. Windows Shellcode Injection VirtualAlloc NoDirectCall LL / GPA:使用VirtualAlloc,CreateThread,WaitForSingleObject API在内存中注入和执行shellcode。 使用LoadLibrary和GetProcAddress API对关键API进行动态加载(无直接调用)。
  3. Windows Shellcode Injection VirtualAlloc NoDirectCall GPA / GMH:使用VirtualAlloc,CreateThread,WaitForSingleObject API在内存中注入和执行shellcode。 使用GetModuleHandle和GetProcAddress API对关键API进行动态加载(无直接调用)。
  4. Windows Shellcode Injection HeapAlloc:使用HeapAlloc,HeapCreate,CreateThread,WaitForSingleObject API在内存中注入和执行shellcode。
  5. Windows Shellcode Injection HeapAlloc NoDirectCall LL/GPA:使用HeapCreate,HeapAlloc,CreateThread,WaitForSingleObject API在内存中注入和执行shellcode。 使用LoadLibrary和GetProcAddress API对关键API进行动态加载(无直接调用)。
  6. Windows Shellcode Injection HeapAlloc NoDirectCall GPA / GMH:使用HeapCreate,HeapAlloc,CreateThread,WaitForSingleObject API在内存中注入和执行shellcode。 使用GetModuleHandle和GetProcAddress API对关键API进行动态加载(无直接调用)。
  7. Windows Shellcode Injection Process注入:使用VirtualAllocEx,WriteProcessMemory,CreateRemoteThread,WaitForSingleObject API将shellcode注入和执行到远程进程内存(默认:OneDrive.exe(x86),explorer.exe(x64))。
  8. Windows Shellcode注入流程注入NoDirectCall LL / GPA:使用VirtualAllocEx,WriteProcessMemory,CreateRemoteThread,WaitForSingleObject API将shellcode注入和执行到远程进程内存(默认:OneDrive.exe(x86),explorer.exe(x64))。 使用LoadLibrary和GetProcAddress API对关键API进行动态加载(无直接调用)。
  9. Windows Shellcode注入流程注入NoDirectCall GPA / GMH:使用VirtualAllocEx,WriteProcessMemory,CreateRemoteThread,WaitForSingleObject API将shellcode注入和执行到远程进程内存(默认:OneDrive.exe(x86),explorer.exe(x64))。 使用GetModuleHandle和GetProcAddress API对关键API进行动态加载(无直接调用)。
  10. Windows Shellcode注入线程劫持:将shellcode注入远程进程内存并执行它,使用VirtualAllocEx,WriteProcessMemory,Get / SetThreadContext,Suspend / ResumeThread API执行线程执行劫持(默认:OneDrive.exe(x86),explorer.exe(x64))。
  11. Windows Shellcode注入线程劫持LL / GPA:将shellcode注入远程进程内存并执行它,使用VirtualAllocEx,WriteProcessMemory,Get / SetThreadContext,Suspend /执行线程执行劫持(默认:OneDrive.exe(x86),explorer.exe(x64)) ResumeThread API。 使用LoadLibrary和GetProcAddress API对关键API进行动态加载(无直接调用)。
  12. Windows Shellcode注入线程劫持GPA / GMH:将shellcode注入远程进程内存并执行它,使用VirtualAllocEx,WriteProcessMemory,Get / SetThreadContext,Suspend /执行线程执行劫持(默认:OneDrive.exe(x86),explorer.exe(x64)) ResumeThread API。 使用GetModuleHandle和GetProcAddress API对关键API进行动态加载(无直接调用)。

 Windows Pure C meterpreter stager

纯C多态仪表预测器与msfconsole和钴触发信标兼容。(reverse_tcp / reverse_http)
(>)随机垃圾代码和Windows防病毒逃避技术(>)幻影逃避诱饵程序产生可用(参见幻影逃避诱饵程序产生部分)(>)剥离可执行程序可用( https://en.wikipedia.org/wiki/Strip_(Unix) ) )(>)执行时间范围:35-60秒
  1. C meterpreter/reverse_TCP VirtualAlloc(x86/x64):用c编写的32/64位windows / meterpreter/reverse_tcp多态stager(需要多个/处理程序监听器,有效负载设置为windows/meterpreter/reverse_tcp(如果是x86) - windows/x64/meterpreter/reverse_tcp(如果是x64),内存:虚拟)
  2. C meterpreter / reverse_TCP HeapAlloc(x86 / x64):用c编写的32/64位windows / meterpreter / reverse_tcp多态stager(需要多个/处理程序监听器,有效负载设置为windows / meterpreter / reverse_tcp(如果是x86) - windows / x64 / meterpreter / reverse_tcp(如果是x64),内存:堆)
  3. C meterpreter / reverse_TCP VirtualAlloc NoDirectCall GPAGMH(x86 / x64):用c编写的32/64位windows / meterpreter / reverse_tcp多态stager(rrequire multi / handler listener,有效负载设置为windows / meterpreter / reverse_tcp(如果是x86) - windows / x64 / meterpreter / reverse_tcp(如果是x64),内存:虚拟,在运行时加载的API)
  4. C meterpreter / reverse_TCP HeapAlloc NoDirectCall GPAGMH(x86 / x64):用c编写的32/64位windows / meterpreter / reverse_tcp多态stager(需要多个/处理程序监听器,有效负载设置为windows / meterpreter / reverse_tcp(如果是x86) - windows / x64 / meterpreter / reverse_tcp(如果是x64),内存:堆,运行时加载的API)
  5. C meterpreter / reverse_HTTP VirtualAlloc(x86 / x64):用c编写的32/64位windows / meterpreter / reverse_http多态stager(需要多个/处理程序监听器,有效负载设置为windows / meterpreter / reverse_http(如果是x86) - windows / x64 / meterpreter / reverse_http(如果是x64),内存:虚拟)
  6. C meterpreter / reverse_HTTP HeapAlloc(x86 / x64):用c编写的32/64位windows / meterpreter / reverse_http多态stager(需要多个/处理程序监听器,有效负载设置为windows / meterpreter / reverse_http(如果是x86) - windows / x64 / meterpreter / reverse_http(如果是x64),内存:堆)
  7. C meterpreter / reverse_HTTP VirtualAlloc NoDirectCall GPAGMH(x86 / x64):用c编写的32/64位windows / meterpreter / reverse_http多态stager(需要多个/处理程序监听器,有效负载设置为windows / meterpreter / reverse_http(如果是x86) - windows / x64 / meterpreter / reverse_http(如果是x64),在运行时加载的API)
  8. C meterpreter / reverse_HTTP HeapAlloc NoDirectCall GPAGMH(x86 / x64):用c编写的32/64位windows / meterpreter / reverse_http多态stager(需要多个/处理程序监听器,有效负载设置为windows / meterpreter / reverse_http(如果是x86) - windows / x64 / meterpreter / reverse_http(如果是x64),内存:堆,运行时加载的API)
  9. C meterpreter / reverse_HTTPS VirtualAlloc(x86 / x64):用c编写的32/64位windows / meterpreter / reverse_http多态stager(需要多个/处理程序监听器,有效负载设置为windows / meterpreter / reverse_https(如果是x86) - windows / x64 / meterpreter / reverse_https(如果是x64),内存:虚拟)
  10. C meterpreter / reverse_HTTPS HeapAlloc(x86 / x64):用c编写的32/64位windows / meterpreter / reverse_http多态stager(需要多个/处理程序监听器,有效负载设置为windows / meterpreter / reverse_https(如果是x86) - windows / x64 / meterpreter / reverse_https(如果是x64),内存:堆)
  11. C meterpreter / reverse_HTTPS VirtualAlloc NoDirectCall GPAGMH(x86 / x64):用c编写的32/64位windows / meterpreter / reverse_http多态stager(需要多个/处理程序监听器,有效负载设置为windows / meterpreter / reverse_https(如果是x86) - windows / x64 / meterpreter / reverse_https(如果是x64),在运行时加载的API)
  12. C meterpreter / reverse_HTTPS HeapAlloc NoDirectCall GPAGMH(x86 / x64):用c编写的32/64位windows / meterpreter / reverse_http多态stager(需要多个/处理程序监听器,有效负载设置为windows / meterpreter / reverse_https(如果是x86) - windows / x64 / meterpreter / reverse_https(如果是x64),内存:堆,运行时加载的API)

 Powershell / Wine-Pyinstaller模块

Powershell模块:
(>)随机垃圾代码和Windows防病毒规避技术(>)诱骗程序Spawner可用(参见幻影逃避诱饵程序产生部分)(>)条带可执行程序可用( https://en.wikipedia.org/wiki/Strip_(Unix) ) (>)执行时间范围:35-60秒
  1. Windows Powershell / Cmd Oneliner Dropper:需要用户提供的Powershell / Cmd oneliner有效负载(例如Empire oneliner有效负载)。 生成用c编写的Windows powershell / Cmd oneliner dropper。 Powershell / Cmd oneliner有效负载使用system()函数执行。
  2. Windows Powershell Script Dropper:支持msfvenom和自定义PowerShell有效负载。 (32位powershell有效负载与64位PowerShell目标不兼容,反之亦然。)生成用c编写的Windows powershell脚本(.ps1)dropper。 Powershell脚本有效负载使用system()函数执行(powershell -executionpolicy bypass -WindowStyle Hidden -Noexit -File“PathTops1script”)。
Wine-Pyinstaller模块:
(>)随机垃圾代码和Windows防病毒规避技术(>)执行时间范围:5-25秒(>)要求在wine中安装python和pyinstaller。
  1. Windows WinePyinstaller Python Meterpreter
纯python meterpreter有效载荷。
  1. WinePyinstaller Oneline有效负载滴管
纯python powershell / cmd oneliner滴管。
使用os.system()执行Powershell / cmd有效负载。

没有评论:

发表评论

学习资源

https://start.me/p/PwlKgn/apt