Today, I want to share something very easy and helpful. Some of you might already know about it, but for those who don't, I hope you find it interesting and that it fits well in your inventory.
All tests were conducted on Windows 11 23H2/Windows 10 22H2, using the tools and techniques I am going to explain and using Cobalt Strike 4.9.1 as C2 framework. SmartScreen is not alerted if the file is extracted from the container and pasted on a directory, in example Desktop.
Сегодня я хочу поделиться чем-то очень простым и полезным. Некоторые из вас, возможно, уже знают об этом, но я надеюсь, что те, кто не знает, найдут это интересным и хорошо впишутся в ваш инвентарь.
Все тесты проводились в Windows 11 23H2/Windows 10 22H2 с использованием инструментов и методов, которые я собираюсь объяснить, а также Cobalt Strike 4.9.1 в качестве платформы C2. SmartScreen не выдает предупреждение, если файл извлекается из контейнера и вставляется в каталог, например, на рабочий стол.
1.- Build a container using something like this tool: https://github.com/mgeeky/PackMyPayload
There are many GUI open source tools that can build containers that need to be mounted like mkisofs an many others.
Note: Container = .iso/.img
2.- Store your container on any of the following living on the network projects. This will provide more trust for our download domain. It not mandatory for testing purpose, but why not doing things well, right?
lots-project.com
3.- I work with clean payloads on static & runtime analysis I don't know about malware detected on static.
4.- After that Edge, Chrome would not detect your payload/malware as malicious. It will be a clean download. You will notice that running the file that it's inside the container does not have a Mark of the web mark and it does not triggers Windows SmartScreen (the payload must be run from a directory and not from inside the container, otherwise SmartScreen will give an alert/warning)
Unsigned executables .exe, can bypass google chrome alerts with that method. But Microsoft Edge will flag as malicious.
Is always better to stay away from executables, DLL are stealthier than them. I personally recommend use them + DLL sideloading.
Happy hacking!
Use with love 666
-
1. Создайте контейнер, используя что-то вроде этого инструмента: https://github.com/mgeeky/PackMyPayload
Существует множество инструментов с открытым исходным кодом с графическим интерфейсом, которые могут создавать контейнеры, которые необходимо монтировать, как mkisofs и многие другие.
Примечание. Контейнер = .iso/.img.
2.- Сохраните свой контейнер в любом из следующих сетевых проектов. Это обеспечит больше доверия к нашему домену загрузки. Это не обязательно для целей тестирования, но почему бы не сделать все хорошо, верно?
lots-project.com
3.- Я работаю с чистыми полезными нагрузками при статическом анализе и анализе времени выполнения. Мне не известно о вредоносных программах, обнаруженных в статике.
4.- После этого Edge Chrome не будет обнаруживать вашу полезную нагрузку/вредоносное ПО как вредоносную. Это будет чистая загрузка. Вы заметите, что запуск файла, находящегося внутри контейнера, не имеет метки веб-метки и не запускает Windows SmartScreen (полезная нагрузка должна запускаться из каталога, а не изнутри контейнера, в противном случае SmartScreen выдаст предупреждение /предупреждение)
Неподписанные исполняемые файлы .exe могут обходить предупреждения Google Chrome с помощью этого метода. Но Microsoft Edge будет отмечен как вредоносный.
Всегда лучше держаться подальше от исполняемых файлов, DLL более скрытны, чем они. Лично я рекомендую использовать их + загрузку неопубликованных DLL.
Удачного взлома!
Используйте с любовью 666
Последнее редактирование: Пятница в 07:34
All tests were conducted on Windows 11 23H2/Windows 10 22H2, using the tools and techniques I am going to explain and using Cobalt Strike 4.9.1 as C2 framework. SmartScreen is not alerted if the file is extracted from the container and pasted on a directory, in example Desktop.
Сегодня я хочу поделиться чем-то очень простым и полезным. Некоторые из вас, возможно, уже знают об этом, но я надеюсь, что те, кто не знает, найдут это интересным и хорошо впишутся в ваш инвентарь.
Все тесты проводились в Windows 11 23H2/Windows 10 22H2 с использованием инструментов и методов, которые я собираюсь объяснить, а также Cobalt Strike 4.9.1 в качестве платформы C2. SmartScreen не выдает предупреждение, если файл извлекается из контейнера и вставляется в каталог, например, на рабочий стол.
1.- Build a container using something like this tool: https://github.com/mgeeky/PackMyPayload
There are many GUI open source tools that can build containers that need to be mounted like mkisofs an many others.
Note: Container = .iso/.img
2.- Store your container on any of the following living on the network projects. This will provide more trust for our download domain. It not mandatory for testing purpose, but why not doing things well, right?
LOTS Project - Living Off Trusted Sites
lots-project.com
3.- I work with clean payloads on static & runtime analysis I don't know about malware detected on static.
4.- After that Edge, Chrome would not detect your payload/malware as malicious. It will be a clean download. You will notice that running the file that it's inside the container does not have a Mark of the web mark and it does not triggers Windows SmartScreen (the payload must be run from a directory and not from inside the container, otherwise SmartScreen will give an alert/warning)
Unsigned executables .exe, can bypass google chrome alerts with that method. But Microsoft Edge will flag as malicious.
Is always better to stay away from executables, DLL are stealthier than them. I personally recommend use them + DLL sideloading.
Happy hacking!
Use with love 666
-
1. Создайте контейнер, используя что-то вроде этого инструмента: https://github.com/mgeeky/PackMyPayload
Существует множество инструментов с открытым исходным кодом с графическим интерфейсом, которые могут создавать контейнеры, которые необходимо монтировать, как mkisofs и многие другие.
Примечание. Контейнер = .iso/.img.
2.- Сохраните свой контейнер в любом из следующих сетевых проектов. Это обеспечит больше доверия к нашему домену загрузки. Это не обязательно для целей тестирования, но почему бы не сделать все хорошо, верно?
LOTS Project - Living Off Trusted Sites
lots-project.com
3.- Я работаю с чистыми полезными нагрузками при статическом анализе и анализе времени выполнения. Мне не известно о вредоносных программах, обнаруженных в статике.
4.- После этого Edge Chrome не будет обнаруживать вашу полезную нагрузку/вредоносное ПО как вредоносную. Это будет чистая загрузка. Вы заметите, что запуск файла, находящегося внутри контейнера, не имеет метки веб-метки и не запускает Windows SmartScreen (полезная нагрузка должна запускаться из каталога, а не изнутри контейнера, в противном случае SmartScreen выдаст предупреждение /предупреждение)
Неподписанные исполняемые файлы .exe могут обходить предупреждения Google Chrome с помощью этого метода. Но Microsoft Edge будет отмечен как вредоносный.
Всегда лучше держаться подальше от исполняемых файлов, DLL более скрытны, чем они. Лично я рекомендую использовать их + загрузку неопубликованных DLL.
Удачного взлома!
Используйте с любовью 666
Последнее редактирование: Пятница в 07:34