Alaris-免杀Shellcode加载器|Cobalt Strike免杀工具

Alaris-免杀Shellcode加载器|Cobalt Strike免杀工具

Alaris 是一种新的隐藏式shellcode 加载器,能够绕过今天 (02/28/2021) 的大多数 EDR 系统。

它使用几个已知的 TTP 来帮助保护恶意软件及其执行流程。

Alaris功能:

  • Shellcode 加密 (AES-CBC 256)
  • 通过@Jackson T 的SyWhispers2直接 x86 系统调用
  • 防止第 3 方(非 Microsoft 签名)DLL 挂钩或注入父进程和子进程。
  • 父进程 ID 欺骗
  • 执行后覆盖它自己的shellcode。

要全面了解 Alaris 的工作原理,请参阅我的帖子

更新

截至 2021 年 2 月 28 日,已进行多项更改:

  1. 您现在可以使用 Python3builder.py工具轻松构建 Alaris 。
  2. SysWhispers移至SysWhispers2
  3. Key 和 IV 现在通过 PBKDF2 对于每个构建都是动态的

Alaris使用方法

构建 Alaris 的最简单方法是使用builder.py. 在构建新的 Alaris 加载器时,你需要具备以下环境:

  1. 您正在 Windows 主机上编译。最好是 Windows 10。
  2. 您已使用 C++ 安装了 Visual Studio 2019+ [Community, Professional](请参阅此处的示例
  3. 你已经安装了 Python3 并且有 pip install -r requirements.txt
用法: builder.py [-h] -s  -p  [-o]

可选参数:
  -h, --help        显示此帮助信息并退出
  -s, --shellcode   shellcode原始文件的路径
  -p, --password    加密密码
  -o, --out         编译好的exe的输出路径

示例语法

# 将编译后的二进制文件输出到 CWD 
python3 builder.py -s C:\Users\雨苁\payload.bin -p example_password

#输出编译的二进制为您所选择的路径。
python3 builder.py -s C:\Users\雨苁\payload.bin -p example_password -o C:\Users\雨苁\Desktop\my_alaris

详细安装说明

[1]-[安装必备环境/条件]

①windows 10电脑
②安装有python3
③安装有pip/pip3
④安装有Visual Studio 2019或更高版本.

[2]-[下载Alaris]

下载地址:

①GitHub: github.com/cribdragg3r/Alaris.zip
②雨苁网盘: Alaris.rar

解压密码: www.ddosi.org

[3]-[安装Visual Studio 2019]

下载Visual Studio 2019

①到微软官网下载:

https://visualstudio.microsoft.com/zh-hans/

Alaris-免杀Shellcode加载器|Cobalt Strike免杀工具
②雨苁网盘下载:

vs_professional.exe

Visual Studio 2019 激活码:

也可以自己选择社区版(免费版)

Visual Studio 2019:

专业版:  NYWVH-HT4XC-R2WYW-9Y3CM-X4V3Y
企业版:  BF8Y8-GN2QH-T84XB-QVY3B-RC4DF

按需安装需要的东西

安装如图所示的两个即可.

Alaris-免杀Shellcode加载器|Cobalt Strike免杀工具

[4]-[安装必要的库]

切换到 requirements.txt 所在目录执行以下命令

pip3 install -r requirements.txt
Alaris-免杀Shellcode加载器|Cobalt Strike免杀工具

Alaris详细使用方法

[此处以cobalt strike生成的shellcode为例]

①使用cobalt strike生成raw格式的shellcode.

Alaris-免杀Shellcode加载器|Cobalt Strike免杀工具
Alaris-免杀Shellcode加载器|Cobalt Strike免杀工具

②把生成的shellcode文件[payload.bin]复制到Alaris目录下

Alaris-免杀Shellcode加载器|Cobalt Strike免杀工具

③在此处打开cmd输入以下命令进行exe生成

builder.py -s payload.bin -p www.ddosi.org -o C:\Users\www.ddosi.org\Desktop\

命令解释:
builder.py -s payload文件位置 -p 密码 -o 生成exe保存位置

Alaris-免杀Shellcode加载器|Cobalt Strike免杀工具

免杀效果测试

火绒免杀测试

①火绒静态查杀测试

Alaris-免杀Shellcode加载器|Cobalt Strike免杀工具
Alaris-免杀Shellcode加载器|Cobalt Strike免杀工具

火绒静态查杀免杀

②火绒动态查杀测试

运行木马后成功在cobalt strike上线,且读取文件,执行命令[添加用户的命令是会拦截的]火绒不拦截

Alaris-免杀Shellcode加载器|Cobalt Strike免杀工具

结论:此免杀工具可成功绕过火绒.

卡巴斯基免杀测试

①卡巴斯基静态查杀:

Alaris-免杀Shellcode加载器|Cobalt Strike免杀工具

静态查杀卡巴斯基未检测到病毒.

② 卡巴斯基动态查杀:

运行病毒后成功上线

Alaris-免杀Shellcode加载器|Cobalt Strike免杀工具

但在一分钟内被卡巴斯基检测到并进行清除.

Alaris-免杀Shellcode加载器|Cobalt Strike免杀工具

结论:此免杀工具可静态查杀绕过卡巴斯基,但运行后依然会被卡巴斯基检测到并清除.

virustotal病毒检测测试

https://www.virustotal.com/

病毒检测率为18/68=26.47%,

换句话说可以过73%的杀毒软件

Alaris-免杀Shellcode加载器|Cobalt Strike免杀工具

仅可作为研究使用,切勿用于违法犯罪!
转载请注明出处及链接

Leave a Reply

您的电子邮箱地址不会被公开。