前言
今天给大家介绍的是一款名叫Armor的macOS Payload加密工具,Armor是一个功能强大的Bash脚本,通过它来创建的加密macOS Payload能够绕过反病毒扫描工具。
Armor介绍
Armor可以直接配合NetcatPayload一起使用,Netcat监听器的目标端口为4444,读取了“payload.txt”文件之后,我们会看到文件内容包含了Bash代码,执行之后,将会在目标macOS系统和攻击者的Netcat监听器之间建立一条TCP连接。Armor可以用来对Bash脚本的代码进行加密,Ncat可以用来在攻击者的服务器端托管解密密钥。当Stager在目标macOS系统上执行之后,bash代码会被解密并执行,整个过程不会在磁盘中存储任何数据。接下来,当解密密钥被使用之后,Ncat会终止监听器的运行。当Netcat链接建立成功之后,攻击者就可以获取到目标macOS系统的远程访问权了。
当然了,很多同学会认为对macOS Payload进行加密纯属多余,因为这种特殊的Bash脚本本来就能够绕过反病毒引擎。。但是我们这里只是举个例子,因为同等程度地代码混淆和加密还可以应用到很多复杂的Python、Ruby和Shell脚本身上。
工具安装
Armor使用了LibreSSL来加密输入的文件,并创建SSL证书。如果你的设备上没有安装LibreSSL的话,Armor会自动帮你安装它。这个功能的相关代码可以在armor.sh文件中找到。除了LibreSSL之外,依赖组件还包括Ncat在内,在Kali上大家可以使用下列命令完成安装:
$apt-get update && apt-get install nmap
Armor工具的代码克隆以及执行命令如下:
git clone https://github.com/tokyoneon/Armor
cd Armor/
chmod +x armor.sh
./armor.sh /path/to/payload.txt 1.2.3.4 443
其中,1.2.3.4是攻击者的IP地址,解密密钥就托管在这个服务器上,它可以是一个本地IP或者VPS服务器,443为服务器端口号,大家可以根据自己的需要来自行定义。
项目地址
Armor:【GitHub传送门】
* 参考来源:Armor,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM