Обзор shellter

Итак сегодня у нас обзор утилиты..
SHELLTER – это инструмент для инжектирования шеллкода в 32-битный исполняемый файл. Автор известен и другими проектами, например A.R.F. https://www.shellterproject.com/

Сначала давайте запустим шеллтер и заразим произвольный файл.

shellter

Для простоты я взял на заражение сам шеллтер.

shellter trace

Он запускает целевой файл для пошаговой трассировки.

При этом выплевывает из себя DisASM.dll который является собранной либой BeaEngine.

shellter 30s

Шеллкод вставляется в место где трейсер будет на 30-ой секунде.
Оригинальный код перезатирается, поэтому в файле должно быть достаточно кода под целевой шк, в моем случае целых 5 килобайт.

Давайте сравнив файлы до и после заражения!shellter diff

Итак, у нас есть 2 различие первое в Optional header

shellter 00000138

Второе в коде, для начала узнаем его виртуальный адрес:

shellter 23d

Ага, время сравнить оба файла в ollydbg:

shellter shellcode

Нус, взглянем на шеллкод. Из особенностей можно отметить неплохой мусорный генератор и самомодифицируемый код.

алгоритм работы обфусцированного шеллкода таков:

  1. LoadLibrary(Kernel32)
  2. GetProcAddress(VirtualAlloc)
  3. VirtualAlloc
  4. запись шеллкода целевого
  5. его запуск

Я выбрал в качестве шеллкода WinExec(calc), так что просто поставил брейкпойнт на WinExec и остановился внутри шеллкода

shellter shellcode run

Как и ожидалось он был в выделенной области памяти.

Стелс-режим

Утилита имеет Стелс-режим, который не убивает приложение после отработки шеллкода. Для выделения дополнительного места используется расширение последней секции.

diff2

Результаты тестов ав…

После заражения:До заражения:
Показатель выявления: 3 / 53

Antiy-AVL Trojan/Generic.ASMalwS.1597BD5
Kaspersky HEUR:Trojan.Win32.Generic
Qihoo-360 HEUR/QVM10.1.Malware.Gen

Показатель выявления: 3 / 53

Antiy-AVL Trojan/Generic.ASMalwS.1597BD5
Kaspersky HEUR:Trojan.Win32.Generic
McAfee-GW-Edition BehavesLike.Win32.Gupboot.bh

Как видно, ничего принципиально не изменилось. Результаты таковы из-за 30-секундного трейсинга,  таким образом эмулятор антивируса не успевает дойти до шеллкода.

One thought on “Обзор shellter

Добавить комментарий