github.com/pabloskubert/gocrypter

v0.0.0-20220102153603-53750f4463cd
Source
Go

Version published: 3 years ago

Created: 3 years ago

Source

Gocrypter

Crypter em golang (POC)

Uso

./gocrypter <executável>

Estágios do crypter

Comprimi o arquivo malicioso usando a ZLIB
Criptografa os bytes resultantes do processo de compressão usando AES-GCM com chave 256-bit long
Converte o resultado da criptografia byte-a-byte para uint8 e grava no stub_template.go na seção "PAYLOAD"
Gera um arquivo main.go com base no stub_template.go no diretório "stub"
Compila o arquivo com o stub + payload

Estágios da infecção

Descriptografa os bytes da carga que foram armazenados em uma variável no stub (i.e payload)
Descomprimi os bytes do payload usando a ZLIB
Grava a carga maliciosa no disco rígido para o diretório temporário do sistema operacional
Executa o arquivo que foi gravado

Efetividade

A efetividade do crypter é consistente até que a carga maliciosa seja gravado no disco rígido, somente esta técnica isolada não é capaz de ser efetiva contra EDR's e AV's inteligentes, é necessário combiná-la com outras de injenção, como PROCESS HOLLOWING ou qualquer outra.

Resultado

Payload do Quasar RAT puro

Screenshot

Payload do Quasar RAT encriptado

Screenshot

FAQs

What is github.com/pabloskubert/gocrypter?

Package last updated on 02 Jan 2022

Did you know?

Socket for GitHub automatically highlights issues in each pull request and monitors the health of all your open source dependencies. Discover the contents of your packages and block harmful activity before you install or update your dependencies.

Install