SharpIncrease 利用二进制填充绕过杀毒软件

SharpIncrease 利用二进制填充绕过杀毒软件

黑客工具, 黑客技术

SharpIncrease简介

SharpIncrease 可以绕过许多安全措施,并可与各种文件扩展名一起使用。

您甚至可以使用空字节增加 Windows 应用程序的大小。

目前为止,SharpIncrease 已经测试过的安全产品有:

-电子邮件安全产品
-EDR
-NextGenAV
-AV
-EPP

原理

攻击者可能会使用二进制填充来添加垃圾数据并更改恶意软件在磁盘上的表示形式。这样做不会影响二进制文件的功能或行为,但由于文件大小限制,二进制文件的大小可能会超出某些安全工具的处理能力。

二进制填充有效地改变了文件的校验值(hash),也可以用来避免基于哈希的阻止列表和静态防病毒签名检验。使用的填充通常由创建垃圾数据的函数生成,然后附加到末尾或应用于恶意软件的各个部分。增加文件大小可能会降低某些工具和检测功能的有效性,这些工具和检测功能并非设计或配置为扫描大文件。这也可能降低被收集进行分析的可能性。公共文件扫描服务(如 VirusTotal)限制要分析的上传文件的最大大小

ATT&CK 

https://attack.mitre.org/techniques/T1027/001

使用方法


  ____  _                     ___
 / ___|| |__   __ _ _ __ _ __|_ _|_ __   ___ _ __ ___  __ _ ___  ___
 \___ \| '_ \ / _` | '__| '_ \| || '_ \ / __| '__/ _ \/ _` / __|/ _ \
  ___) | | | | (_| | |  | |_) | || | | | (__| | |  __/ (_| \__ \  __/
 |____/|_| |_|\__,_|_|  | .__/___|_| |_|\___|_|  \___|\__,_|___/\___|
                        |_|

            Mert Daş     @merterpreter


用法: SharpIncrease.exe -D inputfile -S MB -O outputfile

用法示例:

SharpIncrease.exe -D yourmalmalware.exe -S 350 -O padded.exe
SharpIncrease 利用二进制填充绕过杀毒软件

下载地址

https://github.com/mertdas/SharpIncrease/archive/refs/heads/main.zip

项目地址

GitHub:
https://github.com/mertdas/SharpIncrease

转载请注明出处及链接

One comment

Leave a Reply

您的邮箱地址不会被公开。 必填项已用 * 标注