Invoke-CradleCrafter v1.1

介绍

Invoke-CradleCrafter是PowerShell v2.0 +兼容的PowerShell远程下载摇篮生成器和混淆器。

背景

在发布Invoke-Obfuscation之后的2016年秋季,我继续更新了PowerShell远程下载支架的电子表格,认为有一天我可能会将“cradle selector”菜单添加到Invoke-Obfuscation中。这个名单包括我不明白的摇篮,其中许多摇篮不是在野外观察到的(或根本不是)。

但是,由于Invoke-Obfuscation被设计为混淆任何PowerShell命令或脚本,因此我知道我需要包含某些混淆技术,包括构建不适合包含在Invoke-Obfuscation中的定制摇篮。

这就是让我把这个摇篮研究完全转化为一个单独的项目,尽管你总是可以从Invoke-CradleCrafter中得到输出并将其输入到Invoke-Obfuscation中,并继续获得乐趣。由于Invoke-CradleCrafter控制得更加严格,因此使我能够使用与Invoke-Obfuscation中的任何技术完全不同的混淆技术。

该工具中的一些新的混淆技术包括通过数据类型枚举和通配符匹配进行令牌混淆,以及通过引入附加变量和变量语法对命令结构进行重新排序。

最后,该工具支持超过最流行的Invoke-Expression和IEX的超过10种调用语法。

目的

Invoke-CradleCrafter存在以帮助蓝色团队和红色团队轻松探索,生成和模糊PowerShell远程下载支架。此外,它还可以帮助蓝色团队测试可能对Invoke-Obfuscation产生的输出有效的检测,但在处理Invoke-CradleCrafter时可能会失效,因为它不包含任何字符串连接,编码,刻度线,类型转换等。

这项研究和工具开发的另一个重要组成部分是有效地突出每个摇篮执行时留下的高级行为和工件。当您首次在工具的交互式菜单中输入新的摇篮类型时,我试图突出显示此信息。

最终,更多地了解每一个摇篮的行为和文物将有助于蓝队更好地发现这些摇篮。这个知识也应该让红专员更好地选择在特定场景中使用哪个摇篮。

用法

虽然所有的托架都可以通过直接调用缺货摇篮功能来生产,所述移动件的所有堆叠的混淆分量的复杂性使得使用Invoke-CradleCrafter起到Explorer和可视化的摇篮语法和混淆技术的最简单的方法这个框架目前支持。

安装

Invoke-CradleCrafter的源代码托管在Github上,你可以从这个仓库(https://github.com/danielbohannon/Invoke-CradleCrafter)
下载,分叉和查看它。请通过与此项目相关的Github错误跟踪器报告问题或功能请求。

安装:
Import-Module ./Invoke-CradleCrafter.psd1
Invoke-CradleCrafter

执照

Invoke-CradleCrafter是在Apache 2.0许可下发布的。

发行说明

v1.0 – 2017-04-28 x33fcon(波兰格丁尼亚):公开发布召唤摇篮。

v1.1 – 2017-05-11 NOPcon(伊斯坦布尔,土耳其):增加了3个新的基于内存的摇篮:

  • PsComMsXml

  • PsInlineCSharp

  • PsCompiledCSharp Added 2 disk-based cradles:

  • PsBits

  • BITSAdmin

v1.1.1 – 2018-01-08:增加了1个新的基于内存的摇篮:

  • Certutil -ping增加了1个新的基于磁盘的摇篮:

  • Certutil -urlcache


转载请注明出处:https://www.freearoot.com/index.php/invoke-cradlecrafter-v1-1.html

文章来源:https://github.com/danielbohannon/Invoke-CradleCrafter#invoke-cradlecrafter-v11