Es extraño que esté publicando material de este tipo, ya que no soy fanático del Malware, aun así estuve jugando un rato con msfpayload y msfencode, también con msfvenom, pero es lo mismo. Me cree un payload, lo codifiqué con 19 iteraciones, lo pasé a Nvt y me salio que de 9 lo detectaban 4, problema grave. Entonces empecé a ver si podía dejarlo FUD.
Primeramente después de generar el archivo codificado lo debuggee con objdump aver que veía.
# objdump -d pay2.exe |less
Suerte tuve de observar que había una bola de NOP's, pero ese no era el punto. Me fuí con hexedit y edité la primera linea por %90, después inserté en la última linea un %20, aparte de remplazar algunos offsets por %90, lo cual me lo dejó indetectable. Pero quizá podría haber movido la Import Table o algo así. El punto es que no rompí el código y apliqué una conversión rápida en hexadecimal.
Ahora, me pasé a "depurar" el archivo, pensé que sería factible cambiarle los metadatos, me pasé con exiftool
Todo estuvo muy tranquilo y así hice mi experimento.
Conclusión:
Trabajar con payloads puras es más fácil que trabajar con algún troyano.
No hay comentarios:
Publicar un comentario