InMemoryNET

Este proyecto es completamente un POC, fue mi investigación para ver cómo funciona el ensamblaje de ejecución dentro de Cobalt Strike.

Originalmente escribí esto hace unos dos años, pero sentí que necesitaba actualizar para descargar el archivo de forma remota para probar el bypass AMSI sin procesos en el proceso de EthicalChaos. Aunque este proyecto no contiene ese POC.

InMemorynet lo hará:

1. Llegar a una URL
2. Descargue un archivo a un búfer
3. Ejecutar a través de CLR

Proyectos referenciados:

1. Hostingclr
2. metaSploit-Ejecute-Assembly
3. Ocultar su .NET - ETW

Ejemplo:

 ~ InMemoryNET ~
InMemoryNET.exe <url> <assembly args>