Creación de payloads cifrados en Powershell con Xeca ~ Segu-Info

1 sept 2020

Creación de payloads cifrados en Powershell con Xeca

1 sept 2020, 1:18:00 p.m. 1 comentario
herramientas, penetration test

Xeca es un proyecto que crea payloads cifrados de PowerShell con fines ofensivos. También es posible crear shellcodes independientes a partir de archivos DLL. Para instalarlo, tenemos que tener previamente Rust y luego construir el proyecto simplemente con el comando: cargo build.

Su funcionamiento es el siguiente:

Identifica y cifra el payload. Carga el payload cifrado en un script de PowerShell y lo guarda en un archivo llamado "launch.txt"
La clave para descifrar el payload se guarda en un archivo llamado "safe.txt"
Ejecuta "launch.txt" en un host remoto
El script volverá a llamar al servidor web definido por el atacante para recuperar la clave de descifrado "safe.txt"
Descifra el payload en la memoria
Ejecuta el payload en la memoria

Algunos ejemplos de uso:

Empire

Merlin

Sliver

Mitigaciones

Si los usuarios tienen que tener acceso a programas como powershell.exe, para mitigar el uso de estas herramientas hay que considerar minimizar los riesgos de seguridad con Just Enough Administration y PowerShell Logging. Las políticas de control de aplicaciones se pueden implementar a través de whitelisting con herramientas como AppLocker.

Fuente: Hackplayers

1 comentario:

Unknown2 de septiembre de 2020, 4:51 p.m.
Muy bueno, gracias!
ResponderBorrar
Respuestas

Agregar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!