Contourner les Antivirus avec des Payloads Encryptés à l’aide de Venom

Le script utilisera Msfvenom de Metasploit pour générer un shellcode dans différents formats tels que “c”, “python”, “ruby”, “dll”, “msi”, “hta-psh” afin d’injecter le shellcode généré dans un template et travailler avec des payloads encryptés.

La fonction python exécute le shellcode au sein de la ram et utilise des compilateurs tels que gcc ou mingw32 ou pyinstaller pour créer le fichier exécutable et éxecutera ensuite une session du gestionnaire Metasploit pour recevoir la connexion à distance.

Source: github.com

COMMENT INSTALLER VENOM

# Download framework from github
$ git clone https://github.com/r00t-3xp10it/venom.git

# Set files execution permitions
$ cd venom
$ sudo chmod -R +x *.sh
$ sudo chmod -R +x *.py

# Install dependencies
$ cd aux`
$ sudo ./setup.sh

DÉMARRER VENOM

$ sudo ./venom.sh

Une fois l’outil lancé, il vous sera demandé d’appuyer sur “Enter” pour continuer en selectionnant les options.

Cliquer pour agrandir

L’écran suivant vous montrera les informations sur les différentes options disponibles, la machine ciblé, le format de payload et la sortie. Il existe 7 types différents d’option de construction de shellcode listés. Nous allons utiliser le shellcode “numéro 4” pour cette démonstration.

Cliquer pour agrandir

Veuillez simplement indiququé le shellcode Venom “numéro 4” et confirmer en appuyant sur “enter”.

CONFIGURATION DU PAYLOAD

Vous aurez besoin maintenant de choisir votre agent référent. Pour ce payload, Venom vous propose deux options. Sélectionnez celui que vous souhaitez utiliser entre Android et IOS. De notre côté, nous sélectionnerons l’agent “numéro 1” pour cette démonstration.

Cliquer pour agrandir

Nous devrons maintenant configurer l’adresse IP locale de l’hôte ainsi que le port. Entrez l’adresse IP locale de votre machine et le port qui sera utilisé pour l’écoute par le payload. Pour votre information, l’adresse IP locale et le port sont également appelés “LHOST” et “LPORT“, exactement comme lorsque nous utilisons Metasploit.

Cliquer pour agrandir

Cliquer pour agrandir

Il est maintenant temps de donner un nom à notre payload qui sera utilisée pour le sauvegarder et définir aussi la manière dont nous voulons que notre payload soit délivré.

Cliquer pour agrandir

Cliquer pour agrandir

DÉMARRER L’ATTAQUE

A ce stade, nous pouvons dire que vous avez presque terminé ! Un nouveau terminal démarrera automatiquement une session de Metasploit vous permettant de mener votre attaque avec le payload encrypté.

Cliquer pour agrandir