shhhcargador es un SysWhispers Shellcode Loader que actualmente es un trabajo en progreso. Toma shellcode sin formato como entrada y compila un código auxiliar de C++ que se ha integrado con SysWhispers para evitar AV/EDR. El generador de python incluido funcionará en cualquier sistema Linux que tenga Mingw-w64 instalado.
Se ha confirmado que la herramienta carga correctamente Meterpreter y una baliza Cobalt Strike en sistemas completamente actualizados con Windows Defender habilitado. El proyecto en sí todavía se encuentra en un estado PoC/WIP, ya que actualmente no funciona con todas las cargas útiles.
2/9/22 EDITAR: ¡Shhhloader ahora incluye 5 formas diferentes de ejecutar su shellcode! Consulte a continuación el uso actualizado. ¡Muchas gracias a @Snovvcrash y su proyecto DInjector por la inspiración! Recomiendo encarecidamente echarle un vistazo para obtener más información sobre las técnicas de inyección de shellcode y el código en el que se basa ahora esta herramienta.
┳┻|
┻┳|
┳┻|
┻┳|
┳┻| _
┻┳| •.•) – ¡Shhhhh, AV podría escucharnos!
┳┻|⊂ノ
┻┳|
uso: Shhhloader.py [-h] [-p explorer.exe] [-m QueueUserAPC] [-nr] [-v] [-d] [-o a.exe] expediente
CARGADOR CUSTOM SYSWHISPERS SHELLCODE DE ICYGUIDER
argumentos posicionales:
archivo Archivo que contiene shellcode sin formato
argumentos opcionales:
-h, –help muestra este mensaje de ayuda y sale
-p explorer.exe, –process explorer.exe
Proceso para inyectar (Predeterminado: explorer.exe)
-m APCUsuarioCola, –method APCUsuarioCola
Método para la ejecución de shellcode (Opciones: ProcessHollow, QueueUserAPC,
RemoteThreadContext, RemoteThreadSuspended, CurrentThread) (Predeterminado: QueueUserAPC)
-nr, –no-randomize Desactiva la aleatorización de nombres de llamadas al sistema
-v, –verbose Habilitar mensajes de depuración al ejecutarse
-d, –dll-sandbox Utilice comprobaciones de sandbox basadas en DLL en lugar de las estándar
-o a.exe, –outfile a.exe
Nombre del archivo compilado
Características
- 5 métodos diferentes de ejecución de Shellcode (ProcessHollow, QueueUserAPC, RemoteThreadContext, RemoteThreadSuspended, CurrentThread)
- Suplantación de PPID
- Bloquear archivos DLL de terceros
- Aleatorización de nombres de llamadas al sistema
- Cifrado XOR con generación de clave dinámica
- Evasión de sandbox a través de la enumeración de DLL cargada
- Sandbox Evasion a través de la verificación de procesadores, memoria y tiempo
Probado y confirmado trabajando en:
- Windows 10 21H1 (10.0.19043)
- Windows 10 20H2 (10.0.19042)
- Servidor Windows 2019 (10.0.17763)
