¿Qué es SpookFlare?
SpookFlare tiene una perspectiva diferente para eludir las medidas de seguridad y le brinda la oportunidad de eludir las contramedidas de los puntos finales en la detección del lado del cliente y la detección del lado de la red. SpookFlare es un generador de carga para Meterpreter Reverse HTTP y HTTPS. SpookFlare tiene cifrado personalizado con ofuscación de cadenas y funciones de compilación de código de tiempo de ejecución para que pueda evitar las contramedidas de los sistemas de destino como un jefe hasta que «aprenden» la técnica y el comportamiento de las cargas útiles de SpookFlare.
- Ofuscación
- Compilación de código de tiempo de ejecución
- Cifrado de código fuente
- Parche Meterpreter Stage Support
Compilación de código de tiempo de ejecución
Aunque la aplicación se compila utilizando ofuscación, el código debe cambiarse completamente después de un punto y en este punto es cuando las cargas útiles se detectan como maliciosas porque la ofuscación basada en cadenas puede alcanzar el éxito en cierta medida. Por ejemplo, si la ofuscación basada en cadenas se usa en su carga útil, también se usan las llamadas al sistema OpenProcess, VirtualAlloc etc. en su carga, existe la posibilidad de que su carga sea detectada por productos de seguridad. Las llamadas al sistema son sospechosas porque muchos malware usan esas llamadas al sistema. Para escapar de estas y otras situaciones, SpookFlare compila el código real durante el tiempo de ejecución. Por lo tanto, la definición de definiciones sospechosas como llamadas al sistema está oculta. Al igual que las llamadas al sistema, la ocultación real del código se explica bajo el título en curso.
.NET Framework incluye un mecanismo llamado Code Document Object Model (CodeDOM) que permite a los desarrolladores de programas que emiten código fuente generar código fuente en múltiples lenguajes de programación en tiempo de ejecución, basado en un único modelo que representa el código a renderizar. A veces los desarrolladores lo necesitan, y .NET Framework lo hace posible. Por ejemplo, el siguiente código C # compila el código C # asignado a la variable «código» durante la ejecución y lo ejecuta.
Descargar Proyecto: https://github.com/hlldz/SpookFlare