Armor：一款功能强大的macOS Payload加密工具

前言

今天给大家介绍的是一款名叫Armor的macOS Payload加密工具，Armor是一个功能强大的Bash脚本，通过它来创建的加密macOS Payload能够绕过反病毒扫描工具。

Armor介绍

Armor可以直接配合NetcatPayload一起使用，Netcat监听器的目标端口为4444，读取了“payload.txt”文件之后，我们会看到文件内容包含了Bash代码，执行之后，将会在目标macOS系统和攻击者的Netcat监听器之间建立一条TCP连接。Armor可以用来对Bash脚本的代码进行加密，Ncat可以用来在攻击者的服务器端托管解密密钥。当Stager在目标macOS系统上执行之后，bash代码会被解密并执行，整个过程不会在磁盘中存储任何数据。接下来，当解密密钥被使用之后，Ncat会终止监听器的运行。当Netcat链接建立成功之后，攻击者就可以获取到目标macOS系统的远程访问权了。

当然了，很多同学会认为对macOS Payload进行加密纯属多余，因为这种特殊的Bash脚本本来就能够绕过反病毒引擎。。但是我们这里只是举个例子，因为同等程度地代码混淆和加密还可以应用到很多复杂的Python、Ruby和Shell脚本身上。

工具安装

Armor使用了LibreSSL来加密输入的文件，并创建SSL证书。如果你的设备上没有安装LibreSSL的话，Armor会自动帮你安装它。这个功能的相关代码可以在armor.sh文件中找到。除了LibreSSL之外，依赖组件还包括Ncat在内，在Kali上大家可以使用下列命令完成安装：

$apt-get update && apt-get install nmap

Armor工具的代码克隆以及执行命令如下：

git clone https://github.com/tokyoneon/Armorcd Armor/chmod +x armor.sh./armor.sh /path/to/payload.txt 1.2.3.4 443

其中，1.2.3.4是攻击者的IP地址，解密密钥就托管在这个服务器上，它可以是一个本地IP或者VPS服务器，443为服务器端口号，大家可以根据自己的需要来自行定义。

项目地址

Armor：【GitHub传送门】

参考来源：Armor，FB小编Alpha_h4ck编译，转载请注明来自FreeBuf.COM