PandaCrypter C# based tool for convert PowerShell scripts into obfuscated batch files and more. (1 Viewer)

[hack0_bin]

PandaCrypter is a C#-based tool designed to convert PowerShell scripts into obfuscated batch files (.bat) with encryption and additional features for execution control.

Features
​

AES Encryption: Encrypts the PowerShell payload.
Anti-VM: Optionally evades virtualized environments.
Compression: Compresses the payload to reduce size before encryption.
Obfuscation: Obfuscates the generated batch file and powershel execution chain.
AMSI Bypass: Optionally includes an AMSI (Antimalware Scan Interface) bypass to avoid detection.
Run as Administrator: Supports elevating privileges by prompting for admin rights using Abuse Elevation Control Mechanism Force Admin.
Self-Deletion: Optionally self-destructs after execution.
Persistence: Optionally registers the batch file to run at user logon via scheduled tasks.
Windows Defender Exclusion: Can add an exclusion path to Windows Defender (requires admin privileges).
Execution Delay: Supports adding a delay before script execution.
Low Entropy Packing: Contains colon padding to reduce entropy
EventLog Cleanup: Removes Powershell logs to reduce footprint (requires admin privileges).

How It Works​

PandaCrypter processes a PowerShell script through several stages to produce an obfuscated batch file:

Input Reading: Reads the input PowerShell script (.ps1) as text.
Compression: Compresses the script using GZip to reduce its size.
Encryption: Encrypts the compressed payload.
Stub Generation: Creates a PowerShell stub that:
Decodes the encrypted payload from Base64.
Decrypts it using the provided key and IV.
Decompresses the result.
Executes the final PowerShell code using IEX (Invoke-Expression).
Batch Obfuscation: Embeds the PowerShell stub in a batch file, applying:
Random variable names for obfuscation.
Splitting commands into smaller parts assigned to variables.
Random case variation for PowerShell command strings (e.g., pOwErShElL).
Feature Integration: Adds optional features like AMSI bypass, admin elevation, or self-deletion based on command-line flags.
Output: Writes the final batch file with the encrypted payload appended as a Base64-encoded string, prefixed with :: .

author

Chainski

Chainski Inc.

https://guns.lol/chainskimo

Canada

Link:

To view the content, you need to Sign In or Register.

Click to read more...

 

[edward0666]

Thanks for this

 

[Veintiuno]

Thanks

 

[XaHoiDen]

View attachment 294909

PandaCrypter là một công cụ được viết bằng ngôn ngữ C#, được thiết kế để chuyển đổi các kịch bản PowerShell thành các tệp bó (.bat) đã được mã hóa và bổ sung các tính năng kiểm soát thực thi.

Đặc trưng
​

Mã hóa AES: Mã hóa dữ liệu PowerShell.
Chống máy ảo: Tùy chọn né tránh môi trường ảo hóa.
Nén: Nén dữ liệu để giảm kích thước trước khi mã hóa.
Che giấu mã: Che giấu mã nguồn của tập tin batch được tạo ra và chuỗi thực thi PowerShell.
Tùy chọn bỏ qua AMSI: Bao gồm tùy chọn bỏ qua giao diện quét phần mềm chống mã độc (AMSI) để tránh bị phát hiện.
Chạy với quyền quản trị viên: Hỗ trợ nâng cao đặc quyền bằng cách yêu cầu quyền quản trị viên thông qua Cơ chế Kiểm soát Nâng cao Quyền Lạm dụng (Abuse Elevation Control Mechanism) - Buộc chạy với quyền quản trị viên.
Tự hủy: Tùy chọn tự hủy sau khi thực thi.
Tính năng lưu trữ: Tùy chọn đăng ký tệp lệnh hàng loạt để chạy khi người dùng đăng nhập thông qua các tác vụ theo lịch trình.
Thêm đường dẫn loại trừ vào Windows Defender: Có thể thêm đường dẫn loại trừ vào Windows Defender (yêu cầu quyền quản trị).
Độ trễ thực thi: Hỗ trợ thêm độ trễ trước khi thực thi tập lệnh.
Đóng gói entropy thấp: Chứa các phần đệm bằng dấu hai chấm để giảm entropy.
Dọn dẹp nhật ký sự kiện: Xóa nhật ký PowerShell để giảm dung lượng bộ nhớ (yêu cầu quyền quản trị).

Cách thức hoạt động​

PandaCrypter xử lý một kịch bản PowerShell qua nhiều giai đoạn để tạo ra một tệp tin batch đã được mã hóa:

Đọc dữ liệu đầu vào: Đọc tập lệnh PowerShell đầu vào (.ps1) dưới dạng văn bản.
Nén: Nén tập lệnh bằng GZip để giảm kích thước.
Mã hóa: Mã hóa dữ liệu đã nén.
Tạo Stub: Tạo một stub PowerShell:
Giải mã dữ liệu được mã hóa từ Base64.
Giải mã bằng khóa và IV được cung cấp.
Giải nén kết quả.
Thực thi đoạn mã PowerShell cuối cùng bằng cách sử dụng IEX (Invoke-Expression).
Che giấu mã độc trong tập lệnh: Nhúng đoạn mã PowerShell vào một tập lệnh, áp dụng:
Tên biến ngẫu nhiên dùng để che giấu thông tin.
Chia nhỏ các lệnh thành các phần nhỏ hơn và gán chúng cho các biến.
Biến thể chữ hoa chữ thường ngẫu nhiên cho chuỗi lệnh PowerShell (ví dụ: pOwErShElL).
Tích hợp tính năng: Thêm các tính năng tùy chọn như bỏ qua AMSI, nâng quyền quản trị hoặc tự xóa dựa trên các cờ dòng lệnh.
Kết quả: Ghi tệp tin batch cuối cùng với dữ liệu được mã hóa được thêm vào dưới dạng chuỗi mã hóa Base64, có tiền tố là :: .

tác giả

Xe trượt tuyết xích

Công ty Chainski

https://guns.lol/chainskimo

Canada

Liên kết:
* Văn bản ẩn: không thể trích dẫn. *
​

thanks