En la actualización de octubre de Maldev Academy se lanzaron varios módulos interesantes para sus usuarios. Uno de ellos fue un loader de DLLs que se probó con éxito en varios EDR, incluidos MDE y Crowdstrike.
Además, prometieron lanzar una versión EXE de ese loader en GitHub ¡y ya lo tenemos!:
Repo: https://github.com/Maldev-Academy/MaldevAcademyLdr.1
Características:
- Syscalls indirectas que utilizan una implementación mejorada de HellsHall
- Dll unhooking a través del directorio \KnownDlls\
- Inyección de payloads mediante fragmentación o chunking
- Uso de librería custom de cifrado AES
- Ejecución del payload a través de las API Thread Pool
- Ofuscación de la IAT mediante hashing y camuflaje de API
- Librería CRT independiente.
Demo:
Comentarios
Publicar un comentario