Kang IT
Invoke-Antivm - Alat Powershell Untuk Penghindaran VM
Invoke-AntiVM adalah sekumpulan modul untuk melakukan deteksi VM dan sidik jari (dengan eksfiltrasi) melalui Powershell.
Kesesuaian
Jalankan skrip check-kompatibilitas.ps1 untuk memeriksa modul atau fungsi apa yang kompatibel dengan versi PowerShell. Tujuan kami adalah untuk mencapai kompatibilitas dari 2.0 tetapi kami belum sampai di sana. Jalankan check-compability.ps1 untuk melihat apa saja masalah kompatibilitas saat ini.
Latar Belakang
Kami menulis alat ini untuk menyatukan beberapa teknik untuk mengidentifikasi teknologi VM atau kotak pasir. Ini bergantung pada tanda tangan dan sinyal perilaku untuk mengidentifikasi apakah sebuah host adalah VM atau bukan. Modul dikategorikan ke dalam kelompok logis: CPU, Eksekusi, Jaringan, Program. Pengguna juga dapat memutuskan untuk mengekstrak sidik jari host target agar dapat menentukan fitur apa yang dapat digunakan untuk mengidentifikasi solusi sandbox atau VM.
Tujuan
Invoke-AntiVM ada dikembangkan untuk memahami apa implikasi penggunaan trik obfuscation dan anti-vm dalam payload PowerShell. Kami berharap ini akan membantu Tim Merah untuk menghindari analisis muatan mereka dan Tim Biru untuk memahami cara melakukan debofuscate skrip dengan teknik penghindaran. Anda dapat menggunakan file modul utama Invoke-AntiVM.psd1 atau menggunakan file skrip ps1 tunggal jika Anda ingin memperkecil ukurannya.
Pemakaian
Contoh penggunaan tersedia dalam skrip berikut:
- detect.ps1: ini menunjukkan contoh skrip tentang bagaimana memanggil tes yang berbeda
- use.ps1: ini menunjukkan penggunaan dasar
- use_more.ps1: ini menunjukkan fungsi yang lebih maju
- use_exfil.ps1: ini menunjukkan cara mengekstrak informasi host sebagai dokumen json melalui pastebin, web atau email
- use_fingerprint_file.ps1: ini menunjukkan modul exfiltration dan data apa yang dihasilkan dalam bentuk dokumen json
- poc_fingerprint_combined.ps1: ini menunjukkan modul sidik jari yang digunakan pada kotak pasir online
- output / poc.docm: ini menunjukkan contoh serangan MS Word dengan makro untuk memanggil modul sidik jari (diunggah sebelumnya ke server)
Folder pastebin berisi skrip python:
- full_fingerprints.py yang mengunduh semua pasta
- decode_pastebins.ps1 untuk mendekompresi dan mendekode dokumen sidik jari
Anda harus memastikan bahwa Anda menggunakan kunci enkripsi yang sama dengan yang Anda gunakan selama langkah eksfiltrasi. Paket folder menunjukkan bagaimana Anda dapat mengemas semua skrip ke dalam file tunggal untuk portabilitas yang lebih baik. Folder pastebin menunjukkan cara menarik secara otomatis dan mendekode dokumen exfiltrat dari pastebin.
Instalasi
Kode sumber untuk Invoke-CradleCrafter dihosting di Github, dan Anda dapat mengunduh, bercabang, dan memeriksanya dari repositori ini ( https://github.com/robomotic/invoke-antivm ). Silakan laporkan masalah atau permintaan fitur melalui pelacak bug Github yang terkait dengan proyek ini.
Untuk menginstal: jalankan script install_module.ps1
Regards
Kang IT
No comments:
Post a Comment