设为首页收藏本站
开启辅助访问 切换到窄版

安全矩阵

 找回密码
 立即注册
搜索
安全矩阵»安全矩阵 安全矩阵实验室 技术转载 免杀0xUBypass开源
返回列表 发新帖
查看: 992|回复: 0

免杀0xUBypass开源

[复制链接]
ivi

417

主题

417

帖子

2391

积分

金牌会员

Rank: 6Rank: 6

积分
2391
发表于 2023-12-8 22:12:12 | 显示全部楼层 |阅读模式
Yeuoly 衡阳信安 2023-12-05 19:00 发表于韩国

Summary
写在前面,开源不是为了让你随便用,你要这样我还不如就放个readme上来,然后传个附件,代码一点都不给你,都给了你代码了,很多简单的问题你还问来问去,那就是你的不对了。

Description:
这是一个基于纯汇编语言绕过动/静态检测的Shellcode Loader,也可以直接当做免杀使用,使用了2048位秘钥的RSA进行防止逆向,可以有效避免被溯源,当然,需要携带秘钥作为启动参数。

Requirements:
开发环境为VS 2017,当然你也可以适当更改代码使得它可以在新版运行,编译为64位的

shellcode要求为64位的shellcode,当然,你可以在https://github.com/Yeuoly/0xUByp ... odeInjector.cpp#L41 这里看到,编译出来的程序是64位的,所以shellcode得是64位。

Bypass
操作系统:Win10 64位 杀毒软件:360全家桶(360安全卫士、360杀毒),火绒,windows defender,卡巴斯基,更多的暂时没有测试。
C2及版本:CobaltStrike 4.4

360





Windows Defender


火绒




卡巴斯基



Usages
不带脑子
https://github.com/Yeuoly/0xUBypass/releases/tag/1.0.0 下载release,然后准备一个64位的shellcode,替换掉release中改的shellcode,然后运行即可。

  1. go run go.go ./shellcode1.bin
复制代码


会生成一个exe,点开就行,默认是弹计算器

使用golang加载DLL

感谢 A10nggg 师傅的贡献,现在可以使用golang加载DLL了

使用方法如下

如果你不喜欢默认的C++加载器,你也可以使用golang加载器,毕竟C++的特征过于明显,很容易被杀软检测到,使用方法如下

  • 首先你需要将本项目编译为DLL
  • 使用go编译go_bundle.go生成木马文件



  1. go run go_bundle.go muma
复制代码


其中muma为生成的木马文件名,可以自定义,具体建议看代码

  • 将生成的木马文件和DLL文件放在同一目录下,然后运行木马文件即可


直接使用

首先准备好一段shellcode(RAW编码)保存在aaa.bin(命名随意)中,然后使用UBypass进行加密,如下

  1. PS D:\Data\fixable\code\WindowsShellcodeInjector\Release> .\WindowsShellcodeInjector.exe .\calc.bin
  2. [*] Generated Private Key => gPT6SIbOa;od,u`vbg/;:kcS;k+=S%@ob]Cz&~\<=
  3. [*] Your Padding Original Shellcode Size is 280
  4. [*] Your Padding Encrypted Shellcode Size is 560
  5. [*] Your Encrypted Shellcode is f30d0f241eafbe062451e23a3ede47419f06cbc36802ea49e23beb1caaa3dc008f4fa95bf85cc18235383bc8593411345e4485af8cd58a52e9500e0d5664760a99d5ef9d0727d70d582563959b016b1c2069a149cdddcd5fc
复制代码


随后会在当前文件夹生成一个Kawaii.exe即为携带了你的shellcode的马子,使用的时候加上私钥即可,如下
  1. PS D:\Data\fixable\code\WindowsShellcodeInjector\Release> .\Kawaii.exe 'gPT6SIbOa;od,u`vbg/;:kcS;k+=S%@ob]Cz&~\<='
复制代码


免责声明
本项目仅供学习交流使用,请勿用于非法用途,否则后果自负,与本人无关
本项目仅提供一个已经编译好的dll在release中
https://github.com/Yeuoly/0xUBypass/releases/tag/1.0.0



项目地址
https://github.com/Yeuoly/0xUBypass
结束语:Yeuoly是我们团队研发最牛逼的大佬,和我是死铁,我们一般一个腾讯会议会从晚上24点开到早上6点。收拾一下,去上班。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-27 22:34 , Processed in 0.014459 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表