点击上方蓝字关注我们
现在只对常读和星标的公众号才展示大图推送,建议大家能把星落安全团队“设为星标”,否则可能就看不到了啦!
工具介绍
SGN 是一种多态二进制编码器,用于攻击性安全目的,例如生成静态不可检测的二进制有效载荷。它使用加性反馈循环对给定的二进制指令进行编码,类似于 LSFR。
工具优点
对于进攻性安全社区来说,shikata ga nai 编码器的原始实现被认为是最好的 shellcode 编码器(到目前为止)。但多年来,安全研究人员发现了静态测试编码器的几个陷阱(相关工作 FireEye 文章)。
https://www.fireeye.com/blog/threat-research/2019/10/shikata-ga-nai-encoder-still-going-strong.html该项目的主要动机是创建一个更好的编码器,将给定的二进制文件编码到与完全随机数据相同的程度,并且无法检测到解码器的存在。在 keystone 汇编器库的帮助下,实现了以下改进。
1. 64 位支持。Finally properly encoded x64 shellcodes !2. 新的更小的解码器存根。LFSR key reduced to 1 byte3. 具有伪随机架构的编码存根。Decoder stub is also encoded with a psudo random schema4. 无可见的循环条件Stub decodes itself WITHOUT using any loop conditions !!5. Decoder stub 混淆。Random garbage instruction generator added with keystone6. 安全注册选项。Non of the registers are clobbered (optional preable, may reduce polimorphism)
工具使用
-h 如果您想了解幕后发生的事情,这是不言自明的用法
__ _ __ __ ____ / / (_) /_____ _/ /____ _ ___ ____ _ ___ ___ _(_)(_-</ _ / / '_/ _ `/ __/ _ `/ / _ `/ _ `/ / _ / _ `/ //___/_//_/_/_/_\_,_/__/_,_/ _, /_,_/ /_//_/_,_/_/========[Author:-Ege-Balcı-]====/___/=======v2.0.1=========┻━┻ ︵ヽ(`Д´)ノ︵ ┻━┻ (ノ ゜Д゜)ノ ︵ 仕方がないUsage: sgnFlags:-h, --help Show context-sensitive help.-i, --input=STRING Input binary path-o, --out=STRING Encoded output binary name-a, --arch=64 Binary architecture (32/64)-c, --enc=1 Number of times to encode the binary (increases overall size)-M, --max=50 Maximum number of bytes for decoder obfuscation--plain Do not encode the decoder stub--ascii Generates a full ASCI printable payload (may take very long time to bruteforce)-S, --safe Preserve all register values (a.k.a. no clobber)--badchars=STRING Don't use specified bad characters given in hex format (x00x01x02...)-v, --verbose Verbose mode--version
GO代码中可以直接用作库,对shellcode进行加密,十分方便!
package mainimport ("encoding/hex""fmt""io/ioutil"sgn "github.com/egebalci/sgn/pkg")func main() {// First open some filefile, err := os.ReadFile("myfile.bin")if err != nil { // check errorfmt.Println(err)return}// Create a new SGN encoderencoder, err := sgn.NewEncoder(64)if err != nil {fmt.Println(err)return}// Set the proper architectureencoder.SetArchitecture(64)// Encode the binaryencodedBinary, err := encoder.Encode(file)if err != nil {fmt.Println(err)return}// Print out the hex dump of the encoded binaryfmt.Println(hex.Dump(encodedBinary))}
作者挑战
开发软件作者认为任何基于规则的静态检测机制都无法检测到用 SGN 编码的二进制文件。事实上,如果有人能编写可以检测每个编码输出的 YARA 规则,我愿意将这个项目的捐款作为象征性的奖品。
圈子介绍
博主介绍:
目前工作在某安全公司攻防实验室,一线攻击队选手。自2022-2024年总计参加过30+次省/市级攻防演练,擅长工具开发、免杀、代码审计、信息收集、内网渗透等安全技术。
目前已经更新的免杀内容:
一键击溃360+核晶
一键禁用defender
CobaltStrike4.9.1二开
CobaltStrike免杀插件
数据库直连工具免杀版
aspx文件自动上线cobaltbrike
jsp文件自动上线cobaltbrike
哥斯拉免杀工具 XlByPassGodzilla
冰蝎免杀工具 XlByPassBehinder
冰蝎星落专版 xlbehinder
正向代理工具 xleoreg
反向代理工具xlfrc
内网扫描工具 xlscan
CS免杀加载器 xlbpcs
Todesk/向日葵密码读取工具
导出lsass内存工具 xlrls
绕过WAF免杀工具 ByPassWAF
等等...
目前星球已满200人,价格由208元调整为218元(交个朋友啦),300名以后涨价至248元!
关注微信公众号后台回复“入群”,即可进入星落安全交流群!
关注微信公众号后台回复“20241112”,即可获取工具下载地址!
往期推荐
1.
3
4
5.
【声明】本文所涉及的技术、思路和工具仅用于安全测试和防御研究,切勿将其用于非法入侵或攻击他人系统以及盈利等目的,一切后果由操作者自行承担!!!
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...