Cansado de perder muito tempo ofuscando scripts do PowerShell como invoke-mimikatz apenas para que eles sejam detectados de qualquer maneira? Não seria incrível se você pudesse pegar qualquer script e automaticamente e, sem quase nenhum esforço, gerar uma quantidade quase infinita de variantes para derrotar os mecanismos de detecção de antivírus baseados em assinaturas?

Bem, agora você pode! Pelo baixo preço baixo de graça! O Xencrypt é um criptografador do PowerShell que usa criptografia AES e compactação Gzip / DEFLATE para, a cada chamada, gerar um script de saída completamente exclusivo e funcionalmente equivalente, dado qualquer script de entrada. Isso é feito compactando e criptografando o script de entrada e armazenando esses dados como uma carga útil em um novo script que descriptografa e descompacta a carga útil antes de executá-lo. Em essência, é para o PowerShell o que é um crypter de PE.

Em ação

Desviar
FUD

Recursos

Xencrypt:

  • Ignora o AMSI e todos os antivírus modernos em uso no VirusTotal (até o momento)
  • Compacta e criptografa scripts do PowerShell
  • Tem uma sobrecarga mínima e muitas vezes até negativa (graças à compressão)
  • Randomiza nomes de variáveis ​​para ofuscar ainda mais o stub do decodificador
  • Aleatoriza a criptografia, a compactação e até a ordem em que as instruções aparecem no código para máxima entropia!
  • Super fácil de modificar para criar sua própria variante de criptografia
  • Suporta camadas recursivas (criptografia criptografando a saída criptografada), testada em até 500 camadas.
  • Oferece suporte ao módulo de importação e à execução padrão, desde que o script de entrada também o suporte
  • GPLv3 – Gratuito e de código aberto!
  • Todos os recursos em um único arquivo para que você possa levá-lo a qualquer lugar!
  • Apesar de todas as opções acima, não é uma bala de prata para todas as configurações – ressalva!

Uso

Import-Module ./xencrypt.ps1
Invoke-Xencrypt -InFile invoke-mimikatz.ps1 -OutFile xenmimi.ps1

Agora você terá um arquivo xenmimi.ps1 criptografado em seu diretório de trabalho atual. Você pode usá-lo da mesma maneira que usaria o script original; portanto, neste caso:

Import-Module ./xenmimi.ps1
Invoke-Mimikatz

Ele também suporta camadas recursivas por meio do sinalizador -Iterations.

Invoke-Xencrypt -InFile invoke-mimikatz.ps1 -OutFile xenmimi.ps1 -Iterations 100

Isso o compactará e criptografará 100 vezes e é útil para desvios dinâmicos do AV, pois eles têm um tempo limite para analisar o código. Não há falsificação aqui, como dorme, que a verificação dinâmica pode pular para chegar ao fim – ela precisa passar por toda a cadeia para chegar à carga maliciosa que normalmente nunca ocorre, pois normalmente ocorre o tempo limite após um ou dois segundos ou a verificação .

Download

Aqui dentro da fullcrypters você também pode ter sempre crypters nativos postados gratuitamente para usar desenvolvidos por mim mesmo. Espero que possam desfrutar ao máximo desse projeto! 🙂