ZipExec – это инструмент Proof-of-Concept (POC), позволяющий упаковывать инструменты на основе бинарных файлов в защищенный паролем zip-файл.
Этот zip-файл затем кодируется в строку base64 , которая восстанавливается на диске.
Затем эта закодированная строка загружается в файл JScript, который при выполнении восстанавливает защищенный паролем zip-файл на диске и выполняет его.
Это делается программно с помощью COM-объектов для доступа к функциям графического интерфейса в Windows через созданный JScript-загрузчик, выполняющий загрузчик внутри защищенного паролем zip-файла без необходимости его предварительного разархивирования.
Защита паролем zip-файла защищает бинраник от EDR и механизмов сканирования на основе диска или антивирусных программ.
Установка
Первым шагом, как всегда, является клонирование репозитория.
Перед компиляцией ZipExec вам нужно будет установить зависимости.
Чтобы установить их, выполните следующие команды:
go get github.com/yeka/zip
Затем соберите его:
go build ZipExec.go
или
go get github.com/Tylous/ZipExec
обход песочницы с помощью IsDomainedJoined. “>
./ZipExec -h
__________.__ ___________
\____ /|__|_____\_ _____/__ ___ ____ ____
/ / | \____ \| __)_\ \/ // __ \_/ ___\
/ /_ | | |_> > \> <\ ___/\ \___
/_______ \|__| __/_______ /__/\_ \\___ >\___ >
\/ |__| \/ \/ \/ \/
(@Tyl0us)
Usage of ./ZipExec:
-I string
Path to the file containing binary to zip.
-O string
Name of output file (e.g. loader.js)
-sandbox
Enables sandbox evasion using IsDomainedJoined.
см. также:
¯\_(ツ)_/¯ Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.