Dirección del proyecto: https://github.com/the-xentropy/xencrypt
Enlace original: http://caidaome.com/?post=246
Xencrypt es un programa de cifrado de PowerShell para lograr el efecto de evitar/pasar por alto/pasar por alto el software antivirus en algunos escenarios . ¿Cansado de perder mucho tiempo ofuscando scripts de PowerShell como invocar-mimikatz para que no puedan ser detectados de todos modos? ¿No sería genial si pudiera tomar cualquier secuencia de comandos y automáticamente y con poco esfuerzo generar un número casi infinito de variantes para derrotar a los mecanismos de detección antivirus basados en firmas?
Xencrypt usa encriptación AES y compresión Gzip/DEFLATE, cada invocación produce una secuencia de comandos de salida completamente única pero funcionalmente equivalente (dada cualquier secuencia de comandos de entrada). Para ello, comprime y cifra la secuencia de comandos de entrada y almacena estos datos como carga útil en una nueva secuencia de comandos que descifrará y descomprimirá la carga útil antes de ejecutarla. Básicamente, PowerShell es un cifrador PE.
Características
Xencriptar:
- Omite AMSI y todos los AV modernos utilizados en VirusTotal (al momento de escribir)
- Comprimir y cifrar scripts de Powershell
- La sobrecarga es mínima y, a menudo, negativa (debido a la compresión)
- Nombres de variables aleatorias para ofuscar aún más los resguardos del descifrador
- Aleatorice el cifrado, la compresión e incluso el orden en que aparecen las declaraciones en su código para maximizar la entropía.
- Súper fácil de modificar para crear sus propias variantes del programa de encriptación
- Admite capas recursivas (el encriptador encripta la salida encriptada), hasta 500 capas probadas.
- Siempre que el script de importación también admita Import-Module, así como la ejecución estándar
- GPLv3 - ¡Gratis y de código abierto!
- Portable, todas las funciones en un archivo.
Descargar, instalar y usar
Dirección de descarga: https://github.com/the-xentropy/xencrypt (xencrypt.ps1)
Dirección de respaldo: disco de red Chengtong https://545c.com/file/8576795-442964856 (2020.5.12)
Lanzousun: https://xiaolada.lanzous.com/icjh72h
usar
| 1 2 |
Módulo de importación ./xencrypt.ps1 Invocar-Xencrypt -InFile invocar-mimikatz.ps1 -OutFile xenmimi.ps1 |
Se generará un archivo xenmimi.ps1 encriptado. Puede usarlo de la misma manera que su script original:
| 1 2 |
Módulo de importación ./xenmimi.ps1 Invocar-Mimikatz |
También es compatible con la estratificación recursiva a través de la bandera -Iteraciones.
| 1 |
Invocar-Xencrypt -InFile invocar-mimikatz.ps1 -OutFile xenmimi.ps1 -Iteraciones 100 |
Esto lo comprimirá y encriptará 100 veces, lo que es excelente para las omisiones dinámicas de AV, ya que tienen un tiempo de espera para analizar el código. Aquí no hay artefactos como los sueños, y los escaneos dinámicos pueden saltar hasta el final: tiene que pasar por toda la cadena para llegar a la carga útil, lo que las cargas útiles no suelen hacer porque generalmente se agotan después de un segundo o dos o escanear.