ก่อนหน้านี้เราใช้ unicorn ในการ obfuscate ไปแล้ว คราวนี้เราจะใช้ Invoke-CradleCrafter ในการทำ obfuscation กันบ้าง

1. สร้าง payload powershell ด้วย metasploit

สร้าง web server สำหรับ deliver load.txt

2. เรียกใช้งาน Invoke-CradleCrafter

3. เมื่อเข้ามาใน Invoke-CradleCrafter แล้ว ให้เรา set URL สำหรับให้ไปโหลด payload ที่เราสร้างไว้ใน 1)

เลือกใช้งานหมวด memory และเลือกรันผ่าน certutil

เลือก all และเลือกใช้งานเป็น 1

นำผลลัพธ์ (สีเหลือง) ไปไว้ในไฟล์ raw.txt

4. ทำการ encode ทั้งหมดด้วย base64

5. นำไฟล์ที่ได้จาก cert.cer ไปไว้ใน web server แล้วที่ฝั่ง client ให้รันเพื่อทำการ download และ execute payload โดยใช้คำสั่งเป็น

Source:: CoalFire