- Регистрация
- 03.06.2012
- Сообщения
- 6 085
- Репутация
Mangle - это инструмент, который манипулирует аспектами скомпилированных исполняемых файлов (.exe или DLL). Mangle может удалять известные строки, свидетельствующие о компрометации (IoC), и заменять их случайными символами, изменять файл, увеличивая его размер, чтобы избежать обнаружения EDR, а также может клонировать сертификаты кодирования подписи из подлинных файлов.
Таким образом, Mangle помогает обходить антивирусные сканеры на диске и в памяти.
Код:
./mangle -h
_____ .__
/ \ _____ ____ ____ | | ____
/ \ / \\__ \ / \ / ___\| | _/ __ \
/ Y \/ __ \| | \/ /_/ > |_\ ___/
\____|__ (____ /___| /\___ /|____/\___ >
\/ \/ \//_____/ \/
(@Tyl0us)
Использование ./Mangle:
-C string
Путь к файлу, содержащему сертификат, который вы хотите клонировать
-I string
Путь к оригинальному файлу
-M Редактировать PE-файл для удаления индикаторов Go
-O string
Новое имя файла
-S int
На сколько мегабайт увеличить размер файлаМодификация строк:
Mangle принимает входной исполняемый файл и ищет известные строки, которые проверяют безопасность продукты или сигнализируют о них. Эти строки сами по себе не являются единственной точкой обнаружения. Часто эти строки используются совместно с другими данными и элементами телеметрии для обнаружения и предотвращения.
Mangle находит эти известные строки и заменяет их шестнадцатеричные значения случайными, чтобы удалить их.
ВАЖНО: Mangle заменяет точный размер строк, которые он изменяет. Он не добавляет ничего лишнего, так как это может вызвать смещения и нестабильности в файле. Mangle делает это с помощью опции командной строки -M.
В настоящее время Mangle работает только с файлами на Golang, но с течением времени будут добавлены и другие языки.
ДО:
ПОСЛЕ:
Увеличение размера бинарника:
Почти все EDR не могут сканировать файлы на диске или в памяти, превышающие определенный размер. Это просто объясняется тем, что большие файлы требуют больше времени на проверку, сканирование или мониторинг. EDR не хотят влиять на производительность, замедляя продуктивность пользователя. Mangle увеличивает размер файлов, создавая заполнение нулевыми байтами (нулями) в конце файла. Это гарантирует, что ничего внутри файла не будет затронуто. Для увеличения размера исполняемого файла используйте опцию командной строки -S вместе с количеством байт, которое вы хотите добавить к файлу. Большие нагрузки сейчас действительно не являются проблемой из-за быстрой скорости интернета, однако не рекомендуется создавать файл размером 2 гигабайта.
На основе тестовых случаев в различных EDR пользовательского уровня и ядерных EDR рекомендуется увеличить размер на 95-100 мегабайт. Поскольку поставщики не проверяют большие файлы, действия остаются незамеченными, что приводит к успешному выполнению shellcode.
Пример:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Сертификат:
Mangle также имеет возможность взять полную цепочку и все атрибуты из подлинного кодового сертификата подписи файла и скопировать его на другой файл. Это включает в себя дату подписания, контрольные подписи и другие измеримые атрибуты.
Хотя эта функция может показаться похожей на другой инструмент,
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
, основное отличие между ними заключается в том, что Limelighter создает фальшивый сертификат на основе домена и подписывает его текущей датой и временем, в отличие от использования действительных атрибутов, где временная метка берется из исходного файла.Эта опция может использоваться для копирования DLL- или .exe-файлов с помощью опции командной строки -C, вместе с путем к файлу, из которого вы хотите скопировать сертификат.
Установка
Первый шаг, как всегда, -
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Перед компиляцией Mangle вам нужно установить зависимости. Для их установки выполните следующие команды:
Код:
go get github.com/Binject/debug/peЗатем выполните сборку:
Код:
go build Mangle.goРепозиторий:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки