飞星v1.1.1 Release

飞星StarFly v1.1.1 Release
[+] cmd <命令行> 直接发送cmd命令行
[+] 添加各种错误处理
[+] 自动识别环境 切换两种启动进程方案（较底层方案/常规方案）
[+] 自动获取SEDebugPrivilege特权
飞星最新版 VirusTotal 仍然98.7%未检出

飞星StarFly v1.1 Release

飞星StarFly v1.1 正式版

[+] getsystem: 本地权限提升至 SYSTEM （需要管理员权限）。
[+] getti: 本地权限提升至 TrustedInstaller （需要 SYSTEM 权限且启用 TrustedInstaller 服务）。
[+] run <可执行文件绝对路径>: 启动指定可执行文件。

PoC

• 飞星StarFly v1.1 - VirusTotal 97.2% 未检出
• 飞星StarFly v1.1 - 微步云沙箱静态及动态扫描均未检出
• 飞星StarFly v1.1 - 奇安信天穹云沙箱行为检测未检出

飞星v1.0.2 Release

##飞星 v1.0.2 Release
[+] 对所有Nt*函数的真正支持 添加了通过栈传递更多参数的功能
[+] getsystem命令 窃取和复制可访问的系统进程主令牌和模拟令牌 以取得本地权限提升
[+] shell命令 测试版 使用高层函数CreateProcessWithTokenW启动cmd.exe 后续将用底层函数实现
VirusTotal 1/72 检出

v1.0.1

飞星StarFly 1.0.1
[+] 添加了对所有 Nt 函数的间接调用支持

v1.0.0

飞星StarFly 1.0.0 发布
[+] 实现了通过对GetSystemTime双重硬件断点Hook进行间接系统调用
[+] ps命令 枚举所有进程信息
[+] exit命令 退出
[+] 将SysWhisper3高度整合精简 避免了被特征为NanoDump的风险
[+] 已绕过

PE导出表
AddVectoredException... RemoveVectoredExcept... GetCurrentThread GetThreadContext SetThreadContext GetSystemTime
GetModuleHandleA GetProcAddress Sleep RtlCaptureContext RtlLookupFunctionEnt... RtlVirtualUnwind UnhandledExceptionFi...
SetUnhandledExceptio... GetCurrentProcess TerminateProcess IsProcessorFeaturePr... IsDebuggerPresent RaiseException
FreeLibrary VirtualQuery GetProcessHeap HeapFree HeapAlloc GetLastError GetModuleHandleW GetStartupInfoW
InitializeSListHead GetSystemTimeAsFileT... GetCurrentProcessId QueryPerformanceCoun... WideCharToMultiByte
MultiByteToWideChar GetCurrentThreadId
注: 后续更新将使用PEB寻址方式获取GetSystemTime内存地址 避免使用GetProcAddress

静态查杀已绕过 6 / 72 杀毒软件 包括卡巴斯基
暂时无法绕过DeepInstinct Elastic Google Ikarus(误报为Crypt) Skyhigh (SWG) Symantec
动态查杀 所有沙箱均未发现任何行为

微步云沙箱扫描报告
https://s.threatbook.com/report/file/7d0b6b8640123b25d03c15b80296f708a410cc847a44a1528a62db62a1d1e02f
VirusTotal扫描报告
https://www.virustotal.com/gui/file/7d0b6b8640123b25d03c15b80296f708a410cc847a44a1528a62db62a1d1e02f
MD5: 7d0b6b8640123b25d03c15b80296f708a410cc847a44a1528a62db62a1d1e02f