EchoStrike, Windows sistemlerinde algılanamayan ters kabuklar oluşturmak ve işlem enjeksiyonu gerçekleştirmek için tasarlanmış açık kaynaklı bir araçtır.
“EchoStrike, yürütüldüğünde tespit edilemeyen bir RevShell oluşturan ikili dosyalar oluşturmanıza olanak tanır; bu, bir şirkete ilk giriş noktası olabilir. Öte yandan, diğer endüstri araçlarına kıyasla kullanımı çok kolay hale getiren bir Python sihirbazı içerir ve neredeyse herkesin kullanmasına olanak tanır,” dedi EchoStrike’ın yaratıcısı Stiven Mayorga Help Net Security’ye.
Temel özellikler
- Etkileşimli sihirbaz: Python tabanlı bir sihirbaz kullanarak yükleri özelleştirir. Manuel yapılandırmaya gerek yoktur.
- Özel kalıcılık teknikleri: Kayıt Defteri ve Görev Zamanlayıcı dahil olmak üzere birden fazla kalıcılık yönteminden birini seçin.
- Kaçınma için ikili dolgu: Dosya boyutuna dayalı tespitlerden kaçınmak için ikili boyutu ayarlar.
- AES yük şifrelemesi: sh3llc0de’yi 128-bit AES şifrelemesiyle korur.
- Proses enjeksiyonu: Gizli yürütme için explorer.exe veya cmd.exe gibi askıya alınmış işlemlere ikili dosyalar enjekte edin.
- Dinamik ikili indirme: Maksimum esneklik için herhangi bir URL’den yükleri indirin ve yürütün.
- Hata kaydı ve süreç yönetimi: Arka plan süreçlerini yönetir ve AppData veya diğer güvenli konumlarda gizli yürütmeyi sağlar.
- Verimlilik: Özel yüklerle ve düşük tespit oranlarıyla test edildi. Kırmızı takım operasyonları ve gizli saldırılar için mükemmel.
Gereksinimler
- Derleyiciye git: Aracı derlemek ve özel yükler oluşturmak için Go’yu yükleyin.
- Python 3: Etkileşimli sihirbazın çalıştırılması için gereklidir.
- Bağımlılıklar: Gerekli Python kütüphanelerini yükleyin.
Gelecek planları ve indirme
Mayorga, “Gelecekteki iyileştirmeler üzerinde çalışacağım, kodu optimize edeceğim ve yeni işlevler ekleyeceğim; MITRE ATT&CK tekniklerine ve alt tekniklerine güçlü bir şekilde odaklanacağım” dedi.
EchoStrike’a GitHub’dan ücretsiz olarak ulaşabilirsiniz.
Mutlaka okuyun: