SysWhispers Shellcode 加载器
项目地址:https://github.com/icyguider/ShhhloaderShhhloader 是一个 SysWhispers Shellcode 加载器,目前正在开发中。它以原始 shellcode 作为输入并编译已与 SysWhispers 集成的 C++ Stub,可绕过 AV/EDR。包含的 python 构建器可以在任何安装了 Mingw-w64 的 Linux 系统上工作。
已确认该工具可以在启用了 Windows Defender 的完全更新的系统上成功加载 Meterpreter 和 Cobalt Strike beacon。该项目本身仍处于 PoC/WIP 状态,因为目前不适用于所有 payload。
Shhhloader 现在包括 5 种不同的方式来执行 shellcode!有关更新的用法,请参见下文。非常感谢 @Snovvcrash 和他们的 DInjector 项目的灵感!强烈建议查看以获取有关该工具现在所基于的 shellcode 注入技术和代码的更多信息。
┳┻|
┻┳|
┳┻|
┻┳|
┳┻| _
┻┳| •.•)- Shhhhh, AV might hear us!
┳┻|⊂ノ
┻┳|
usage: Shhhloader.py [-h] [-p explorer.exe] [-m QueueUserAPC] [-nr] [-v] [-d] [-o a.exe] file
ICYGUIDER'S CUSTOM SYSWHISPERS SHELLCODE LOADER
positional arguments:
file File containing raw shellcode
optional arguments:
-h, --help show this help message and exit
-p explorer.exe, --process explorer.exe
Process to inject into (Default: explorer.exe)
-m QueueUserAPC, --method QueueUserAPC
Method for shellcode execution (Options: ProcessHollow, QueueUserAPC,
RemoteThreadContext, RemoteThreadSuspended, CurrentThread) (Default: QueueUserAPC)
-nr, --no-randomize Disable syscall name randomization
-v, --verbose Enable debugging messages upon execution
-d, --dll-sandbox Use DLL based sandbox checks instead of the standard ones
-o a.exe, --outfile a.exe
Name of compiled file
特性
[*]5 不同的 shellcode 执行方法 (ProcessHollow,QueueUserapc,RemotethReadContext,RemotethReadsuspended,CurrentThread)
[*]ppid 欺骗
[*]阻止第三方 DLL
[*]Syscall 名称随机化
[*]具有动态密钥生成的 XOR 加密
[*]通过加载的 DLL 枚举 Sandbox 逃避
[*]通过检查处理器,内存和时间的沙箱逃避
已在下面操作系统中经过测试并通过:
[*]Windows 10 21H1 (10.0.19043)
[*]Windows 10 20H2 (10.0.19042)
[*]Windows Server 2019 (10.0.17763)
2022 年 2 月 9 日扫描结果 (x64 Meterpreter QueueUserAPC):https://antiscan.me/scan/new/result?id=tntuLnCkTCwz
实操
环境:
[*]windows10:192.168.56.128
[*]kali:192.168.56.134
将项目克隆到本地:
用 msf 生成 shellcode,如下所示:
再利用 Shhhloader 将此 shellcode 注入到你要注入到进程当中 (比如 notepad.exe 记事本程序) 并打包成 exe 可执行文件 (默认为 a.exe),如下:
随后在 kali 建立服务端以便让 windows 端远程下载,如下:
紧接着,下面需开启 msf 监听,等待连接,如下:
在 windows 端利用 powershell 远程下载 a.exe 到本地并执行:
a.exe 执行后,kali 端 msf 收到产生会话,并可控制 windows 端
免杀效果
windows defender miss
火绒 miss
某管家 miss
页:
[1]