На заметку Mangle - Тулза для обхода антивирусов


X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 085
Репутация
8 207
1708702621492.png


Mangle - это инструмент, который манипулирует аспектами скомпилированных исполняемых файлов (.exe или DLL). Mangle может удалять известные строки, свидетельствующие о компрометации (IoC), и заменять их случайными символами, изменять файл, увеличивая его размер, чтобы избежать обнаружения EDR, а также может клонировать сертификаты кодирования подписи из подлинных файлов.

Таким образом, Mangle помогает обходить антивирусные сканеры на диске и в памяти.

Код:
./mangle -h

       _____                        .__
      /     \ _____    ____    ____ |  |   ____
     /  \ /  \\__  \  /    \  / ___\|  | _/ __ \
    /    Y    \/ __ \|   |  \/ /_/  >  |_\  ___/
    \____|__  (____  /___|  /\___  /|____/\___  >
        \/     \/     \//_____/         \/
                    (@Tyl0us)

Использование ./Mangle:
  -C string
        Путь к файлу, содержащему сертификат, который вы хотите клонировать
  -I string
        Путь к оригинальному файлу
  -M    Редактировать PE-файл для удаления индикаторов Go
  -O string
        Новое имя файла
  -S int
        На сколько мегабайт увеличить размер файла

Модификация строк:

Mangle принимает входной исполняемый файл и ищет известные строки, которые проверяют безопасность продукты или сигнализируют о них. Эти строки сами по себе не являются единственной точкой обнаружения. Часто эти строки используются совместно с другими данными и элементами телеметрии для обнаружения и предотвращения.

Mangle находит эти известные строки и заменяет их шестнадцатеричные значения случайными, чтобы удалить их.

ВАЖНО: Mangle заменяет точный размер строк, которые он изменяет. Он не добавляет ничего лишнего, так как это может вызвать смещения и нестабильности в файле. Mangle делает это с помощью опции командной строки -M.

В настоящее время Mangle работает только с файлами на Golang, но с течением времени будут добавлены и другие языки.

ДО:

1708702888655.png


ПОСЛЕ:

1708702902672.png


Увеличение размера бинарника:

Почти все EDR не могут сканировать файлы на диске или в памяти, превышающие определенный размер. Это просто объясняется тем, что большие файлы требуют больше времени на проверку, сканирование или мониторинг. EDR не хотят влиять на производительность, замедляя продуктивность пользователя. Mangle увеличивает размер файлов, создавая заполнение нулевыми байтами (нулями) в конце файла. Это гарантирует, что ничего внутри файла не будет затронуто. Для увеличения размера исполняемого файла используйте опцию командной строки -S вместе с количеством байт, которое вы хотите добавить к файлу. Большие нагрузки сейчас действительно не являются проблемой из-за быстрой скорости интернета, однако не рекомендуется создавать файл размером 2 гигабайта.

На основе тестовых случаев в различных EDR пользовательского уровня и ядерных EDR рекомендуется увеличить размер на 95-100 мегабайт. Поскольку поставщики не проверяют большие файлы, действия остаются незамеченными, что приводит к успешному выполнению shellcode.

Пример:

Сертификат:

Mangle также имеет возможность взять полную цепочку и все атрибуты из подлинного кодового сертификата подписи файла и скопировать его на другой файл. Это включает в себя дату подписания, контрольные подписи и другие измеримые атрибуты.

Хотя эта функция может показаться похожей на другой инструмент, , основное отличие между ними заключается в том, что Limelighter создает фальшивый сертификат на основе домена и подписывает его текущей датой и временем, в отличие от использования действительных атрибутов, где временная метка берется из исходного файла.

Эта опция может использоваться для копирования DLL- или .exe-файлов с помощью опции командной строки -C, вместе с путем к файлу, из которого вы хотите скопировать сертификат.



1708703182490.png


Установка

Первый шаг, как всегда, - Перед компиляцией Mangle вам нужно установить зависимости. Для их установки выполните следующие команды:

Код:
go get github.com/Binject/debug/pe

Затем выполните сборку:

Код:
go build Mangle.go

Репозиторий:
 
Верх Низ