Tutoriales

¡Cargador de Shellcode de SysWhispers! Tutoriales de Kali Linux

shhhcargador es un SysWhispers Shellcode Loader que actualmente es un trabajo en progreso. Toma shellcode sin formato como entrada y compila un código auxiliar de C++ que se ha integrado con SysWhispers para evitar AV/EDR. El generador de python incluido funcionará en cualquier sistema Linux que tenga Mingw-w64 instalado.

Se ha confirmado que la herramienta carga correctamente Meterpreter y una baliza Cobalt Strike en sistemas completamente actualizados con Windows Defender habilitado. El proyecto en sí todavía se encuentra en un estado PoC/WIP, ya que actualmente no funciona con todas las cargas útiles.

2/9/22 EDITAR: ¡Shhhloader ahora incluye 5 formas diferentes de ejecutar su shellcode! Consulte a continuación el uso actualizado. ¡Muchas gracias a @Snovvcrash y su proyecto DInjector por la inspiración! Recomiendo encarecidamente echarle un vistazo para obtener más información sobre las técnicas de inyección de shellcode y el código en el que se basa ahora esta herramienta.

┳┻|
┻┳|
┳┻|
┻┳|
┳┻| _
┻┳| •.•) – ¡Shhhhh, AV podría escucharnos!
┳┻|⊂ノ
┻┳|
uso: Shhhloader.py [-h] [-p explorer.exe] [-m QueueUserAPC] [-nr] [-v] [-d] [-o a.exe] expediente
CARGADOR CUSTOM SYSWHISPERS SHELLCODE DE ICYGUIDER
argumentos posicionales:
archivo Archivo que contiene shellcode sin formato
argumentos opcionales:
-h, –help muestra este mensaje de ayuda y sale
-p explorer.exe, –process explorer.exe
Proceso para inyectar (Predeterminado: explorer.exe)
-m APCUsuarioCola, –method APCUsuarioCola
Método para la ejecución de shellcode (Opciones: ProcessHollow, QueueUserAPC,
RemoteThreadContext, RemoteThreadSuspended, CurrentThread) (Predeterminado: QueueUserAPC)
-nr, –no-randomize Desactiva la aleatorización de nombres de llamadas al sistema
-v, –verbose Habilitar mensajes de depuración al ejecutarse
-d, –dll-sandbox Utilice comprobaciones de sandbox basadas en DLL en lugar de las estándar
-o a.exe, –outfile a.exe
Nombre del archivo compilado

LEER  Cómo actualizar de Debian 10 Buster a Debian 11 Bullseye

Características

  • 5 métodos diferentes de ejecución de Shellcode (ProcessHollow, QueueUserAPC, RemoteThreadContext, RemoteThreadSuspended, CurrentThread)
  • Suplantación de PPID
  • Bloquear archivos DLL de terceros
  • Aleatorización de nombres de llamadas al sistema
  • Cifrado XOR con generación de clave dinámica
  • Evasión de sandbox a través de la enumeración de DLL cargada
  • Sandbox Evasion a través de la verificación de procesadores, memoria y tiempo

Probado y confirmado trabajando en:

  • Windows 10 21H1 (10.0.19043)
  • Windows 10 20H2 (10.0.19042)
  • Servidor Windows 2019 (10.0.17763)

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba