PsEmpire FileLess 25X

神龟Turmi

在帖子https://bbs.kafan.cn/forum.php?m ... &page=7#pid53408402
的讨论中提到了comodo对于无文件攻击的效果
考虑到第四期测试中有5个方式（每种各5个）PsEmpire无文件样本并没有经过Inceptor订阅版本处理
理论上没有版权问题
所以这里我把它们放出来
C2已挂，正常来说没有问题可以安全测试，但是这不是一个保证（因为任何人都有可能在Linode得到和我相同的IP并且重新部署一套PsEmpire来“接管”我这些样本）


执行方式：
06：
复制TXT内容到CMD执行
（你也可以选择将其制作成ps1脚本，但是这可能带来不同的检测结果）
07：
wmic os get /format:"D:\vir\payloads\07-empire-wmic-A.xsl"
（将D:\vir\payloads\路径替换为样本实际绝对路径）
08：
regsvr32 /u /n /s /i:D:\vir\payloads\08-empire-regsvr-A.sct scrobj.dll
（将D:\vir\payloads\路径替换为样本实际绝对路径）
09：
双击
10：
C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe D:\vir\payloads\10-empire-msbuild-A.xml
（将D:\vir\payloads\路径替换为样本实际绝对路径，如果你测试设备的.Net 4.x版本号与我不同，同时修改.Net路径中的版本号）

下载：
https://share.weiyun.com/cA5LoNuZ

update:
mega link removed.
我不小心把01-05也放出来了。。。
那几个是和混淆工具作者约定过不会公开样本的

Jirehlov1234

KES

06 AMSI HEUR:Trojan.PowerShell.Generic
07 wmic被我卸载了，跳过
08 Exploit Prevention PDM:Trojan.Win32.Generic
09 Adaptive Anomaly Control Rule: Start of PowerShell from the VBScript script
Exploit Prevention PDM:Exploit.Win32.Generic
10 Adaptive Anomaly Control Rule: PowerShell script executes unknown dynamic code
Exploit Prevention PDM:Exploit.Win32.Generic

UNknownOoo

火绒
扫描：10X

真小读者

瑞星10X

心醉咖啡

360

初心．杰

卡巴清空

hhhq316

蜘蛛解压杀8，其余双击Miss

zfc234

FSP监控击杀除04-cobaltstrike-cpp-xornop-sls-B.exe以外的exe。
双击
02/09/2023 04:07
Harmful file removed
Path: C:\Users\Noah\Desktop\payloads-ep4
File: 04-cobaltstrike-cpp-xornop-sls-B.exe
Reason: TR/AD.MeterpreterSC.a77562

06系列在CMD中执行后均被DG拦截

swizzer

10系列由实时防护检测。其他的均被命令行扫描检测。

神龟Turmi

zfc234 发表于 2023-9-2 11:13
FSP监控击杀除04-cobaltstrike-cpp-xornop-sls-B.exe以外的exe。
双击
02/09/2023 04:07

蛤？我不小心把01-05也放出来了？