#nosoc blog

$^\xi xpec_tthe ^un \xi xpecte_d$

Obfuscation: ByteSwapping

Polymorphie

Ein Objekt mit unterschiedlichem Aussehen, erfüllt immer die gleiche Funktion.

Im letzten Beitrag, habe ich einen verschlüsselten Shellcode im Arbeitsspeicher entschlüsselt und ausführen lassen. Als Verschlüsselung habe ich jedes Byte mit einer XOR-Berechnung umgewandelt.

Nun möchte ich etwas mehr Dynamik in die Verschlüsselung bringen, um das Entschlüsseln des Shellcodes etwas zu erschweren.

→ Weiterlesen...

Obfuscation: polymorpher In-Memory Decoder

Red-Teaming und Penetration Tests erfordern häufig das Umgehen von Virenscannern, um wirksam Sicherheitslücken aufdecken zu können. Im letzten Teil haben wir uns mit der Tarnung von Shellcode als UUID im Quellcode befasst. Dies hat auch gut funktioniert, jedoch wurde der Shellcode im Speicher erkannt und blockiert.

Das wollen wir nun mit einem polymorphen In-Memory Decoder lösen: Ein Shellcode, der Shellcode entschlüsselt.

→ Weiterlesen...

Obfuscation: Shellcode als UUIDs tarnen

Im letzten Blogpost beschäftigten wir uns mit der Entwicklung eines calc.exe Shellcodes. Die Injection-Methode, die ich hierbei zum Testen nutzte, wurde vom Windows Defender sofort blockiert. Somit musste ich Loader und Shellcode entsprechend anpassen.

Mir kam die Idee, die OpCodes in ein String-Array umzuwandeln, welches mit UUIDs gefüllt ist. Diese müssen dann entsprechend vor der Injection wieder in Bytes umgewandelt werden. Hierzu habe ich einen En- und Decoder geschrieben, welcher genau dies macht.

→ Weiterlesen...

Diese Seite wurde verschoben, die neue URL lautet Obfuscation: Shellcode als UUIDs tarnen.

Shellcode Injection Teil 4

In diesem Beitrag beschäftigen wir uns nur nebenher mit der Verschleierung von Shellcodes. An diesem Punkt wollte ich einen Custom-Shellcode entwickeln, um mehr über die Funktionsweise zu lernen.

Folgende Anforderungen sollten hierbei erfüllt sein:

  • Start von calc.exe auf einem Windows Rechner
  • 64-Bit Code
  • Vermeiden von Null-Bytes

→ Weiterlesen...

Ältere Einträge >>

ActiveDirectory Android apache apt automate awareness backup basics blog chatgpt cheatsheet collabora collection courier cron Debian dns firefox froxlor IRC IT-Security kali Linux mirc mysql n8n network obfuscation owncloud pentest postfix registry shellcode sshd TLS unrealircd wallabag Windows windows10 windows11 Windows10 Windows11 windows_8