SysWhispers Shellcode 加载器

吉沃运营专员

项目地址：https://github.com/icyguider/Shhhloader

Shhhloader 是一个 SysWhispers Shellcode 加载器，目前正在开发中。它以原始 shellcode 作为输入并编译已与 SysWhispers 集成的 C++ Stub，可绕过 AV/EDR。包含的 python 构建器可以在任何安装了 Mingw-w64 的 Linux 系统上工作。

已确认该工具可以在启用了 Windows Defender 的完全更新的系统上成功加载 Meterpreter 和 Cobalt Strike beacon。该项目本身仍处于 PoC/WIP 状态，因为目前不适用于所有 payload。

Shhhloader 现在包括 5 种不同的方式来执行 shellcode！有关更新的用法，请参见下文。非常感谢 @Snovvcrash 和他们的 DInjector 项目的灵感！强烈建议查看以获取有关该工具现在所基于的 shellcode 注入技术和代码的更多信息。

1. ┳┻|
   
2. ┻┳|
   
3. ┳┻|
   
4. ┻┳|
   
5. ┳┻| _
   
6. ┻┳| •.•)  - Shhhhh, AV might hear us!
   
7. ┳┻|⊂ﾉ   
   
8. ┻┳|
   
9. usage: Shhhloader.py [-h] [-p explorer.exe] [-m QueueUserAPC] [-nr] [-v] [-d] [-o a.exe] file
   
10. 
    
11. ICYGUIDER'S CUSTOM SYSWHISPERS SHELLCODE LOADER
    
12. 
    
13. positional arguments:
    
14.   file                  File containing raw shellcode
    
15. 
    
16. optional arguments:
    
17.   -h, --help            show this help message and exit
    
18.   -p explorer.exe, --process explorer.exe
    
19.                         Process to inject into (Default: explorer.exe)
    
20.   -m QueueUserAPC, --method QueueUserAPC
    
21.                         Method for shellcode execution (Options: ProcessHollow, QueueUserAPC,
    
22.                         RemoteThreadContext, RemoteThreadSuspended, CurrentThread) (Default: QueueUserAPC)
    
23.   -nr, --no-randomize   Disable syscall name randomization
    
24.   -v, --verbose         Enable debugging messages upon execution
    
25.   -d, --dll-sandbox     Use DLL based sandbox checks instead of the standard ones
    
26.   -o a.exe, --outfile a.exe
    
27.                         Name of compiled file

复制代码

特性

• 5 不同的 shellcode 执行方法 (ProcessHollow，QueueUserapc，RemotethReadContext，RemotethReadsuspended，CurrentThread)
• ppid 欺骗
• 阻止第三方 DLL
• Syscall 名称随机化
• 具有动态密钥生成的 XOR 加密
• 通过加载的 DLL 枚举 Sandbox 逃避
• 通过检查处理器，内存和时间的沙箱逃避
  

已在下面操作系统中经过测试并通过：

• Windows 10 21H1 (10.0.19043)
• Windows 10 20H2 (10.0.19042)
• Windows Server 2019 (10.0.17763)
  

2022 年 2 月 9 日扫描结果 (x64 Meterpreter QueueUserAPC)：https://antiscan.me/scan/new/result?id=tntuLnCkTCwz



实操

环境：

• windows10：192.168.56.128
• kali：192.168.56.134
  

将项目克隆到本地：



用 msf 生成 shellcode，如下所示：



再利用 Shhhloader 将此 shellcode 注入到你要注入到进程当中 (比如 notepad.exe 记事本程序) 并打包成 exe 可执行文件 (默认为 a.exe)，如下：



随后在 kali 建立服务端以便让 windows 端远程下载，如下：



紧接着，下面需开启 msf 监听，等待连接，如下：



在 windows 端利用 powershell 远程下载 a.exe 到本地并执行：



a.exe 执行后，kali 端 msf 收到产生会话，并可控制 windows 端



免杀效果

windows defender miss



火绒 miss



某管家 miss