Xeca es un proyecto que crea payloads cifrados de PowerShell con fines ofensivos. También es posible crear shellcodes independientes a partir de archivos DLL. Para instalarlo, tenemos que tener previamente Rust y luego construir el proyecto simplemente con el comando: cargo build.

Su funcionamiento es el siguiente:

• Identifica y cifra el payload. Carga el payload cifrado en un script de PowerShell y lo guarda en un archivo llamado "launch.txt"
• La clave para descifrar el payload se guarda en un archivo llamado "safe.txt"
• Ejecuta "launch.txt" en un host remoto
• El script volverá a llamar al servidor web definido por el atacante para recuperar la clave de descifrado "safe.txt"
• Descifra el payload en la memoria
• Ejecuta el payload en la memoria

Algunos ejemplos de uso:

Empire

Merlin

Sliver

Mitigaciones

Si los usuarios tienen que tener acceso a programas como powershell.exe, para mitigar el uso de estas herramientas hay que considerar minimizar los riesgos de seguridad con Just Enough Administration y PowerShell Logging. Las políticas de control de aplicaciones se pueden implementar a través de whitelisting con herramientas como AppLocker.

Fuente: Hackplayers