我们在实战中常常会通过钓鱼 || 漏洞 来获取一些终端的设别,这时候我们需要去对此终端进行杀软的检测(从而决定我们怎么后续操作)
于是我就写了一款BOF,支持一键CheckAV,赶紧来武装你的CS吧! 😋 //感觉好用的师傅点点赞
https://github.com/juruo-wankli/CheckAV-BOF
https://github.com/juruo-wankli/CheckAV-BOF
1.BOF!
BOF(Beacon Object File),可以说是现在渗透的C2必备!像CS的Fork && Run这种非常不Opsec的操作,很容易直接被EDR || XDR 杀掉,所以下一代C2 所有的执行命令都是会往BOF的方向发展,并且BOF的一个好处是不用直接传文件到目标磁盘(对于某60就特别显著),直接内存加载我们的操作,这是一个非常好的选择 ! 😋
2.灵感来源
这里先介绍一款C2 ---> Xiebro !
https://github.com/INotGreen/XiebroC2https://github.com/INotGreen/XiebroC2这是一款前一段时间出的C2,刚出来的时候是免杀基本上所有的AV EDR (ESET报了个Go加载器),但是这不是重点 !!
还记得那时一天午后,在打攻防的时候进了一家公司的内网,然后信息收集(其中Xiebro有一个CheckAV的操作,这也是这个BOF的灵感来源)
但是我发现其存在一些误报以及一些AV检测不出来 ,比如说我们HW常见到的天擎
所以我就自己写了一个BOF (就是最简单的遍历进程),支持大部分AV EDR XDR (有遗漏可以给我提issue)
3.效果展示
目前支持这些 AV && EDR && XDR
| Category | Vendors |
|---|---|
| XDR Vendors | CrowdStrike-XDR, SentinelOne-XDR, CortexPaloAlto-XDR |
| EDR Vendors | Kaspersky-EDR, BitDefender-EDR, Trellix-EDR, 奇安信天擎EDR, Symantec-EDR, Sophos EDR |
| Antivirus Vendors | Windows-Defender, Avira, Avast, ESET, McAfee |
| Chinese Vendors | 360, 火绒, 联想电脑管家, 金山毒霸 |
)
