En su charla de este año nos traía la suite Salsa Tools, un conjunto de herramientas escritas en C# que nos permitirán tener una shell reversa en cualquier entorno de Windows sin la necesidad de tener PowerShell para su ejecución. Esta suite está enfocada a tener mayor versatilidad, bypassear el antivirus y dificultar que obtengan el código.
La idea es separar el loader del payload, cifrar el payload, cargarlo en memoria y añadir métodos de transferencia. El payload siempre lo usaremos como string.
El resultado es un crypter, un payload y el loader:
- EncrypterAssembly: cifra el payload usando RC4. Tenemos la versión en python o exe.
- EvilSalsa: es el payload. Básicamente, lo que hace es cargar System.Management.Automation.dll. Crea un espacio de ejecución con cuatro tipos de shells (TCP/UDP/ICMP/DNS). Cuando se carga EvilSalsa en el sistema, lo primero que hace es verificar si se encuentra "c:\windows\system32\amsi.dll" en el sistema, si lo está parcheado :D. El parche es una variante del parche de CyberArk y Rastamouse.
- SalseoLoader: se encarga de cargar el payload cifrado. SalseoLoader puede compilarse como una librería o como un ejecutable. En el caso de que se compile como ejecutable, solo debemos pasar el argumento que queremos ejecutar. Si lo compilamos como una librería tendremos que realizar una exportación del descriptor "main", y la forma de crear el argumento se realiza a través de la lectura de variables de entorno.
Podéis encontrar todo el software en el repo de Github: https://github.com/Hackplayers/Salsa-tools/
Os dejo la presentación y los videos de demo que usó en su charla de la h-c0n 2019:
Demo:
Fotos:
Enlaces (web h-c0n):
- https://www.h-c0n.com/p/ponentes_9.html#Vacas
- https://www.h-c0n.com/p/ponencias.html#avbypass
Material adicional:
- AMSI Bypass Redux (CyberArk)
- AMSI Bypass (Rastamouse)
Comentarios
Publicar un comentario