Bypass Defender = "Python " + "Cobalt Strike"
Python no sirve para desarrollo de Malware o Red Team, te demuestro lo contario! POC (Proof of Concept)
En esta oportunidad presentamos una POC (Prueba de Concepto – Proof of Concept) de Inyección en memoria de Shellcode con Python 3. La Shellcode fue un Beacon de Cobalt Strike al cual lo encriptamos con AES con el fin de evitar la detección Estática del ejecutable por parte de Windows Defender. Nos referimos al escaneo del ejecutable que realiza el antivirus antes de que se ejecute el archivo. Luego de preparar nuestro Beacon lo incluimos en un Script de Python que denominamos PyArtifact que realiza la nombrada Inyección, sin nada extravagante como Syscalls o ninguna de las técnicas que están de moda actualmente, simplemente desencripta el shellcode y lo inyecta en memoria.
Video de la POC:
Continuando con el proceso que se visualiza en la POC creamos el ejecutable con Pyinstaller sobre el emulador de Windows en Linux WINE y para darle una manito con el antivirus le cambiamos la firma del ejecutable por una confiable de Windows con un proyecto antiguo pero aun vigente denominado SigThief..
Pero como Defender no detecta el Shellcode? Cobalt Strike es un software que permite generarle miles de variaciones, entre ellas la forma en que se comunica con su C2 o Command & Control, aplicando los Malleable C2 y certificados SSL validos, logramos hacer la parte final del Bypass.
Dejamos un plus para la próxima entrada, nuestro PyArtifact tiene persistencia vía clave de registro, por lo que estará vivo la próxima vez que se inicie ese equipo Windows, permitiéndonos seguir nuestras tareas Red Team.
+ Demostramos que Python sigue vigente en cuanto a creación de ejecutables para tareas de Red Team, ya que el mismo logro realizar Bypass de Defender con todas sus actualizaciones en un Windows 10 igual de actualizado, generando persistencia en la misma oportunidad. +