DecoyMini 技术交流社区

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 7405|回复: 0

[工具] SysWhispers Shellcode 加载器

[复制链接]

188

主题

35

回帖

30

荣誉

Rank: 9Rank: 9Rank: 9

UID
2
积分
354
精华
1
沃币
2 枚
注册时间
2021-6-24

论坛管理

发表于 2022-4-20 17:20:36 | 显示全部楼层 |阅读模式

Shhhloader 是一个 SysWhispers Shellcode 加载器,目前正在开发中。它以原始 shellcode 作为输入并编译已与 SysWhispers 集成的 C++ Stub,可绕过 AV/EDR。包含的 python 构建器可以在任何安装了 Mingw-w64 的 Linux 系统上工作。

已确认该工具可以在启用了 Windows Defender 的完全更新的系统上成功加载 Meterpreter 和 Cobalt Strike beacon。该项目本身仍处于 PoC/WIP 状态,因为目前不适用于所有 payload。

Shhhloader 现在包括 5 种不同的方式来执行 shellcode!有关更新的用法,请参见下文。非常感谢 @Snovvcrash 和他们的 DInjector 项目的灵感!强烈建议查看以获取有关该工具现在所基于的 shellcode 注入技术和代码的更多信息。

  1. ┳┻|
  2. ┻┳|
  3. ┳┻|
  4. ┻┳|
  5. ┳┻| _
  6. ┻┳| •.•)  - Shhhhh, AV might hear us!
  7. ┳┻|⊂ノ   
  8. ┻┳|
  9. usage: Shhhloader.py [-h] [-p explorer.exe] [-m QueueUserAPC] [-nr] [-v] [-d] [-o a.exe] file

  10. ICYGUIDER'S CUSTOM SYSWHISPERS SHELLCODE LOADER

  11. positional arguments:
  12.   file                  File containing raw shellcode

  13. optional arguments:
  14.   -h, --help            show this help message and exit
  15.   -p explorer.exe, --process explorer.exe
  16.                         Process to inject into (Default: explorer.exe)
  17.   -m QueueUserAPC, --method QueueUserAPC
  18.                         Method for shellcode execution (Options: ProcessHollow, QueueUserAPC,
  19.                         RemoteThreadContext, RemoteThreadSuspended, CurrentThread) (Default: QueueUserAPC)
  20.   -nr, --no-randomize   Disable syscall name randomization
  21.   -v, --verbose         Enable debugging messages upon execution
  22.   -d, --dll-sandbox     Use DLL based sandbox checks instead of the standard ones
  23.   -o a.exe, --outfile a.exe
  24.                         Name of compiled file
复制代码

特性

  • 5 不同的 shellcode 执行方法 (ProcessHollow,QueueUserapc,RemotethReadContext,RemotethReadsuspended,CurrentThread)
  • ppid 欺骗
  • 阻止第三方 DLL
  • Syscall 名称随机化
  • 具有动态密钥生成的 XOR 加密
  • 通过加载的 DLL 枚举 Sandbox 逃避
  • 通过检查处理器,内存和时间的沙箱逃避

已在下面操作系统中经过测试并通过:

  • Windows 10 21H1 (10.0.19043)
  • Windows 10 20H2 (10.0.19042)
  • Windows Server 2019 (10.0.17763)

2022 年 2 月 9 日扫描结果 (x64 Meterpreter QueueUserAPC):https://antiscan.me/scan/new/result?id=tntuLnCkTCwz



实操

环境:

  • windows10:192.168.56.128
  • kali:192.168.56.134

将项目克隆到本地:



用 msf 生成 shellcode,如下所示:



再利用 Shhhloader 将此 shellcode 注入到你要注入到进程当中 (比如 notepad.exe 记事本程序) 并打包成 exe 可执行文件 (默认为 a.exe),如下:



随后在 kali 建立服务端以便让 windows 端远程下载,如下:



紧接着,下面需开启 msf 监听,等待连接,如下:



在 windows 端利用 powershell 远程下载 a.exe 到本地并执行:



a.exe 执行后,kali 端 msf 收到产生会话,并可控制 windows 端



免杀效果

windows defender miss



火绒 miss



某管家 miss


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|小黑屋|DecoyMini 技术交流社区 (吉沃科技) ( 京ICP备2021005070号 )

GMT+8, 2024-12-22 21:25 , Processed in 0.061053 second(s), 23 queries .

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表