拿下SHELLTER：一个在野外被滥用的商业规避框架 

简介

Elastic Security Labs 观察到多个活动似乎正在利用商业 AV/EDR 规避框架 SHELLTER 来加载恶意软件。SHELLTER 面向攻击性安全行业销售，用于认可的安全评估，使红队操作员能够更有效地部署其 C2 框架以对抗当代反恶意软件解决方案。

关键要点

• 商业规避框架SHELLTER被威胁组织收购
• 根据许可证元数据的记录，SHELLTER 自 2025 年 4 月以来已用于多起信息窃取活动
• SHELLTER 采用独特的能力来逃避分析和检测
• Elastic 安全实验室发布针对受 SHELLTER 保护的二进制文件的动态解包器

Throughout this document we will refer to different terms with “shellter” in them. We will try to 
maintain the following style to aid readability:
  *  “Shellter Project” - the organization that develops and sells the Shellter evasion framework
  *  “Shellter Pro Plus/Elite” - the commercial names for the tools sold by the Shellter Project
  *  “SHELLTER” - the loader we have observed in malicious usage and are detailing in this report
  *  “SHELLTER-protected” - a descriptor of final payloads that the SHELLTER loader delivers

SHELLTER概述

SHELLTER 是一个商业逃避框架，已经协助红队十多年了。它可以帮助攻击性安全服务提供商绕过防病毒工具以及最近的 EDR 工具。这使得红队能够利用他们的 C2 框架，而无需像安全供应商为他们编写检测签名那样进行持续开发。

While the Shellter Project does offer a free version of the software, it has a limited feature-set, 
only 32-bit .exe support, and is generally better understood and detected by anti-malware 
products. The free version is not described in this article.

与许多其他攻击性安全工具 (OST) 一样，SHELLTER 是一种双重用途产品。恶意行为者一旦获得访问权限，就可以使用 SHELLTER 来延长其工具的使用寿命。信誉良好的攻击性安全供应商（例如 Shellter Project）实施了保护措施，以减轻其产品被恶意使用的风险。这些措施包括地理销售限制、组织尽职调查和最终用户许可协议 (EULA)。尽管做出了这些努力，但动机强烈的恶意行为者仍然是一个挑战。

6 月中旬，我们的研究发现了多个以经济利益为目的的信息窃取活动，这些活动自 2025 年 4 月下旬开始使用 SHELLTER 来打包有效载荷。有证据表明这是 Shellter Elite 11.0 版本，于 4 月16 、 2025发布。

SHELLTER 是一个复杂的项目，提供了针对特定操作环境、有效载荷传送机制和加密范例的多种可配置设置。本报告专门关注已识别的恶意活动中观察到的特征。虽然有些功能看起来很常见，但对所有可用功能的全面审查超出了本文档的范围。

SHELLTER 装载机 - 技术细节

以下部分介绍的功能类似于 Shellter 项目已发布的某些Elite Exclusive Features 。我们的评估表明我们正在观察 Shellter Elite。该结论是基于对开发人员公开文档的审查、对不同版本的具有高度代码相似性的各种样本的观察以及很少观察到的逃避特征的普遍性。

多态垃圾代码

受SHELLTER保护的样本通常采用具有多态混淆的自修改shellcode将自身嵌入合法程序中。合法指令和多态代码的组合有助于这些文件逃避静态检测和签名，从而使它们不被发现。

通过在受SHELLTER保护的RHADAMANTHYS样本中的VirtualAlloc上设置断点，我们可以看到该恶意软件样本的调用堆栈。

这种类型的多态代码会混淆静态反汇编程序并损害模拟效果。这些指令出现在解包阶段，调用以下一对 Windows API 函数来为新的 shellcode 存根分配内存：

• GetModuleHandleA / GetProcAddress
• CreateFileMappingW / MapViewOfFile

SHELLTER 的功能包含在一个新的、实质性的功能中。这是在 shellcode 存根中的额外解包和垃圾指令之后达到的。IDA Pro 或 Binary Ninja 可以在此阶段成功反编译代码。

通过文件映射解除系统模块

为了绕过 AV/EDR 供应商的 API 挂钩技术，SHELLTER 通过NtCreateSection和NtMapViewOfSection映射了ntdll.dll的全新副本。

还有第二种解除挂钩的选项，即通过NtOpenSection和NtMapViewOfSection从KnownDLLs目录加载干净的ntll.dll 。

有效载荷加密和压缩

SHELLTER 使用 AES-128 CBC 模式加密其最终的用户定义有效载荷。加密可以通过以下两种方式之一进行：

• 嵌入式密钥/IV：随机生成的密钥/IV对直接嵌入到SHELLTER有效载荷中。
• 服务器获取的密钥/IV：从对手控制的服务器获取密钥/IV 对。

对于使用嵌入选项的样本，我们成功恢复了底层有效载荷。

加密的 blob 位于每个 SHELLTER 有效载荷的末尾。

可以发现 AES 密钥和 IV 作为常量在有效载荷的早期阶段作为初始化例程的一部分被加载到堆栈变量中。

在 Shellter Elite v11.0 中，默认情况下，有效载荷在加密之前使用LZNT1算法进行压缩。

DLL预加载和调用堆栈规避

“强制预加载系统模块”功能可以预加载必要的 Windows 子系统 DLL（例如advapi32.dll 、 wininet.dll和crypt32.dll ），以支持底层有效载荷的操作。三个可配置选项包括：

• --Force-PreloadModules-Basic （16个通用模块）
• --Force-PreloadModules-Networking （5 个网络专用模块）
• --Force-PreloadModules-Custom （最多 16 用户定义模块）

这些模块正在通过LoadLibraryExW或LdrLoadDll加载。有关通过自定义向量异常处理程序 (VEH) 进行 API 代理的详细信息将在后续部分讨论。

下面是一个与--Force-PreloadModules-Basic选项匹配的受 SHELLTER 保护的有效载荷中预加载模块列表的示例，该示例位于部署了一个简单的 C++ 加载器客户端的示例中，该客户端滥用 BITS（后台智能传输服务）进行 C2 控制 - 这是一种受到某些威胁青睐的不常见方法。

以下示例是与加载LUMMA 的示例中发现的--Force-PreloadModules-Networking选项匹配的列表。

此功能（在 Shellter Pro Plus v10.x 中发布）利用调用堆栈规避功能在加载网络和加密相关库时隐藏LoadLibraryExW调用的来源。

下面是加载wininet.dll时的procmon跟踪示例，其中显示了截断的调用堆栈：

在启用了--Force-PreloadModules-Basic标志的同一示例中，我们观察到预加载模块的依赖项也容易受到调用堆栈损坏的影响。例如， urlmon.dll还隐藏了LoadLibraryExW对其依赖项iertutil.dll 、 srvcli.dll和netutils.dll的调用来源。

解除 AV/EDR 模块的链接

SHELLTER 具有解除位于进程环境块 ( PEB ) 内的诱饵 DLL 模块链接的功能。一些安全供应商使用这些诱饵模块作为金丝雀来监视 shellcode 何时尝试手动枚举 PEB LDR 列表。PEB LDR是 Windows 中的一个结构，其中包含有关进程已加载模块的信息。

我们仅根据其哈希值观察到一个唯一的模块名称（每个样本不同），最终解析为kern3l32.dll [原文如此]。

API哈希混淆

观察到的样本采用基于时间的播种来混淆 API 地址。该恶意软件首先从地址0x7FFE0014处的KUSER_SHARED_DATA结构读取SystemTime值以派生动态 XOR 密钥。

然后，它对 API 名称使用种子 ROR13 哈希算法来解析运行时的函数地址。

一旦解决，可选地，这些指针可以通过将它们与基于时间的密钥进行异或并应用按位旋转来混淆，然后存储在查找表中。此策略应用于整个二进制文件，以隐藏各种数据，例如其他函数指针、系统调用存根和已加载模块的句柄。

许可证检查和自我解除武装

对于每个 SHELLTER 有效载荷，都有三个嵌入的FILETIME结构。在示例样本中，发现这些是：

• 许可证到期日期时间（2026-04-17 19 : 17 :24.055000）
• 自撤防日期时间（2026-05-21 19 : 44 :43.724952）
• 感染开始日期时间（2025-05-21 19 : 44 :43.724952）

许可证到期检查将当前时间与许可证到期日期时间进行比较，并在上下文结构中设置license_valid标志。许可证有效性检查有 28 唯一调用站点（可能是 28 许可功能），其中license_valid标志确定是否跳过主要代码逻辑，从而确认许可证到期日期时间充当终止开关。

默认情况下，自我解除日期设置为初始感染开始日期之后一年。当触发自我解除标志时，将执行几个清理程序。其中一个例程涉及取消映射手动加载的ntdll模块（如果存在）并清除 NTAPI 查找表，该表引用手动映射的ntdll模块或在进程初始化期间加载的模块。

虽然各个样本的自我解除和感染开始日期时间有所不同，但我们注意到许可证到期日期时间 (2026-04-17 19 : 17 :24.055000)保持不变。

该时间可能是针对 Shellter 项目颁发的每个许可证唯一生成的。如果确实如此，那么它将支持以下假设：仅获取了一份 Shellter Elite 副本用于恶意用途。该值不会出现在静态分析中，但会出现在解包的第一阶段。

下面是一个 YARA 规则，可用于识别我们所检查的非法 SHELLTER 样本中的硬编码许可证到期值：

rule SHELLTER_ILLICIT_LICENSE {  
    meta:  
        author = "Elastic Security"  
        last_modified = "2025-07-01"  
        os = "Windows"  
        family = "SHELLTER"  
        threat_name = "SHELLTER_ILLICIT_LICENSE"

    strings:

        // 2026-04-17 19:17:24.055000  
        $license_server = { c7 84 24 70 07 00 00 70 5e 2c d2 c7 84 24 74 07 00 00 9e ce dc 01}

    condition:  
        any of them  
}

内存扫描规避

受SHELLTER保护的样本采用了各种技术（包括运行时规避）来逃避检测。这些类型的技术包括：

• 运行时解码和重新编码指令
• 删除非活动内存页的执行权限
• 使用 YARA 减少占用空间并影响内存签名
• 使用 Windows 内部结构（例如PEB ）作为临时数据保存点

SHELLTER 根据操作系统版本生成一个蹦床风格的存根。有一个 4 KB 的页面保存着此存根，其中内存权限使用NtQueryVirtualMemory和NtProtectVirtualMemory波动。

一旦页面处于活动状态，就可以在此地址0x7FF5FFCE0000观察到编码的字节。

SHELLTER 在激活时使用从KUSER_SHARED_DATA结构中派生出的SystemTime密钥通过 XOR 循环对此页面进行解码。

下面是相同的内存页面 ( 0x7FF5FFCE0000 )，显示了系统调用 ( ntdll_NtOpenFile ) 的解码后的蹦床存根。

当需要该功能时，内存页面权限将设置为读取/执行 (RX) 权限。执行后，页面被设置为非活动状态。

运行时对关键功能的持续保护使分析和检测工作变得复杂。这种级别的保护在一般恶意软件样本中并不常见。

间接系统调用/调用堆栈损坏

如上一节所示，SHELLTER 通过使用基于跳床的间接系统调用来绕过用户模式钩子。它并不直接调用syscall ，而是使用来自ntdll.dll的干净syscall指令的地址来准备堆栈。然后， ret指令将该地址弹出到RIP寄存器中，从而秘密地将执行转移到syscall指令。

下面是 Elastic Defend VirtualProtect事件的一个示例，展示了两种规避方法（间接系统调用和调用堆栈截断）的组合。该技术可以绕过或破坏各种安全检测机制。

高级虚拟机/沙盒检测

SHELLTER 的文档提到了虚拟机管理程序检测功能。使用CPUID和_bittest指令调用ZwQuerySystemInformationEx后，我们在恶意样本中也观察到了类似的功能。此功能返回各种 CPU 信息以及超线程技术 (HTT) 标志。

调试器检测（UM/KM）

SHELLTER 使用进程堆标志并通过_KUSER_SHARED_DATA结构检查KdDebuggerEnabled标志来采用用户模式和内核模式调试检测。

AMSI 绕过

有两种绕过 AMSI 的方法。第一种方法涉及内存中修补 AMSI 函数。该技术在函数中搜索特定的字节模式并修改它们以改变函数的逻辑。例如，它用空字节覆盖 4 字节字符串“AMSI”，并将条件跳转修补到其对立面。

第二种方法稍微复杂一些。首先，它会选择性地尝试破坏组件对象模型 (COM) 接口查找，具体方法是：在amsi.dll内查找CLSID_Antimalware GUID 常量{fdb00e52-a214-4aa1-8fba-4357bb0072ec} ，在可写数据部分中找到指向该常量的指针，然后破坏该指针，使其指向实际 GUID 之前 8 个字节。

目标指针是 AMSI 模块的活动模板库 (ATL) 对象映射条目中的 CLSID 指针，它是DllGetClassObject函数用来查找和创建已注册的 COM 类的结构。通过破坏此映射中的指针，反恶意软件提供程序的查找将失败，从而阻止其创建，进而导致AmsiInitialize失败并出现CLASS_E_CLASSNOTAVAILABLE异常。

然后它调用AmsiInitialize - 如果之前的修补程序未发生并且 API 调用成功，它会执行 vtable 修补程序作为后备机制。从AmsiInitialize获取的HAMSICONTEXT包含指向IAntimalware COM 对象的指针，而该对象又包含指向其虚函数表的指针。绕过的目标是此表中的函数IAntimalware::Scan 。为了消除它，代码在包含IAntimalware::Scan函数的内存页面中搜索ret指令。

找到合适的小工具后，它会用ret小工具的地址覆盖Scan函数指针。结果是，任何后续对AmsiScanBuffer或AmsiScanString调用都将调用修补后的 vtable，直接跳转到ret指令，并立即返回。

向量异常处理程序 API 代理

有一个复杂的 API 代理机制，它是通过将调用重定向到已解析的 API 并通过自定义异常处理程序（充当控制流代理）和精心设计的系统调用存根来实现的。它可以分为两个阶段：设置和执行。

阶段 1 涉及分配两个特殊内存页，作为异常处理程序的“触发器”。这些页面的保护设置为PAGE_READONLY ，尝试在那里执行代码将导致STATUS_ACCESS_VIOLATION异常，这是有意为之。这些触发页面的地址存储在上下文结构中：

• api_call_trigger_page - 将被调用来启动代理的页面。
• api_return_trigger_page - 实际 API 将返回的页面。

二进制文件中的异常处理程序模板被复制到分配的区域中，并使用RtlAddVectoredExceptionHandler注册为该进程的主要处理程序。然后，处理程序中的硬编码魔术占位符值（ 0xe1e2e3e4e5e6e7e8 ）会被指向上下文结构本身的指针覆盖。

查看示例调用站点，如果要使用 VEH 代理，则GetCurrentDirectoryA的地址将存储到ctx_struct->target_API_function中，并且 API 函数指针将被调用触发页面的地址覆盖。然后调用此触发页面，触发STATUS_ACCESS_VIOLATION异常。

控制流被重定向到异常处理程序。检查异常上下文的错误地址，如果与调用触发页面匹配，则知道这是一个传入的 API 代理调用，并执行以下操作：

• 保存原始退货地址
• 用返回触发页面的地址覆盖堆栈上的返回地址
• 将RIP寄存器设置为先前在ctx_struct->target_API_function中保存的实际 API 地址。

然后执行GetCurrentDirectoryA调用。当它完成后，它会跳转到返回触发页面，导致第二个STATUS_ACCESS_VIOLATION异常并将控制流重定向回异常处理程序。检查错误地址是否与返回触发页面匹配；如果是，则将RIP设置为原始返回地址，并且控制流返回到原始调用站点。

营销活动

6 月份，Elastic 安全实验室发现了多个部署了受 Shellter Elite 保护的各种信息窃取程序的活动，每个二进制文件中都记录了许可证信息。通过利用上述工具，我们观察到不同活动中的威胁行为者迅速将这种高度规避的加载器集成到他们自己的工作流程中。

LUMMA

LUMMA信息窃取程序从 4 月底开始与 SHELLTER 一起分发，二进制文件中的元数据可以证明这一点。虽然初始感染媒介尚不清楚，但我们能够验证（使用 ANY.RUN）相关文件是否托管在MediaFire文件托管平台上。

想卖

5 月 16 日，Twitter/X 用户@darkwebinformer发布了一张截图，并配文：

🚨Shellter Elite v11.0 在热门论坛上出售

在这种情况下，“Exploit Garant”是指调解交易的类似托管的第三方。

ARECHCLENT2

从五月左右开始，我们观察到针对内容创作者的活动以赞助机会为诱饵。这些似乎是发送给拥有 YouTube 频道的个人的网络钓鱼电子邮件，冒充 Udemy、Skillshare、Pinnacle Studio 和 Duolingo 等品牌。这些电子邮件包含存档文件 ( .rar ) 的下载链接，其中包含与受 SHELLTER 保护的可执行文件打包在一起的合法促销内容。

该底层可执行文件与我们之前的 SHELLTER 分析具有相同的特征和行为。截至撰写本文时，我们仍然可以在 VirusTotal 中看到检测率非常低的样本。这是由于与定制功能相关的多种因素造成的，以避免静态分析，包括多态代码、将后门代码植入合法应用程序以及代码签名证书的应用。

此文件中观察到的嵌入式有效载荷部署了信息窃取程序 ARECHCLIENT2，也称为 SECTOP RAT。该窃取程序的 C2 指向185.156.72[.]80:15847, ，我们的团队在 6 月 17 日讨论与 GHOSTPULSE 加载程序相关的此威胁时曾发现过它。

拉达曼提斯

这些感染始于针对游戏黑客和游戏模组等主题的 YouTube 视频，视频评论链接到 MediaFire 上托管的恶意文件。

截至本文发布时，先前使用此方法分发的其中一个文件已被不同的个人提交了 126 次。

该文件与前面 SHELLTER 分析部分中的底层代码具有相同的行为特征。该样本中嵌入的有效载荷部署了 RHADAMANTHYS 信息窃取程序。

SHELLTER 拆包器

Elastic Security Labs 正在发布一个针对受 SHELLTER 保护的二进制文件的动态解包器。该工具利用动态和静态分析技术的组合，从受 SHELLTER 保护的二进制文件中自动提取多个有效载荷阶段。

由于SHELLTER提供了广泛的可选功能，因此该解包器并不全面，尽管它确实成功处理了大多数测试样本。即使使用不受支持的二进制文件，它通常也能够提取至少一个有效载荷阶段。

出于安全原因，此工具只能在隔离的虚拟机内执行。在脱壳过程中，潜在的恶意可执行代码被映射到内存中。尽管一些基本的保障措施已经实施，但并非万无一失。

结论

尽管商业 OST 社区尽最大努力保留其工具用于合法目的，但缓解方法并不完善。他们和我们的许多客户一样，面临着持续不断、有动机的攻击者。尽管 Shellter 项目在本案中因知识产权损失和未来开发时间而成为受害者，但安全领域的其他参与者现在必须应对使用更强大工具的真正威胁。

我们期望：

• 这个非法版本的SHELLTER将继续在犯罪社区中传播，并可能转向与民族国家结盟的行为者。
• Shellter 项目将更新并发布一个版本，以减轻本次分析中发现的检测机会。
  • 任何新工具都将成为恶意行为者的目标。
• 更高级的威胁将分析这些样本并将功能纳入其工具集中。

我们的目标是，通过这项分析帮助防御者尽早发现这些已识别的信息窃取活动，并为他们将这些技术扩展到攻击领域的其他领域做好准备。

恶意软件和 MITRE ATT&CK

Elastic 使用MITRE ATT&CK框架来记录威胁针对企业网络使用的常见策略、技术和程序。

战术

策略代表了技术或子技术的原因。 这是对手的战术目标：采取行动的原因。

• 命令和控制
• 收集
• 防御规避
• 执行
• 初始访问
• 资源开发

技术

技术代表对手如何通过采取行动来实现战术目标。

• 应用层协议
• 来自本地系统的数据
• 进程注入：线程执行劫持
• 混淆的文件或信息：垃圾代码插入
• 内容注入
• 获得能力

缓解SHELLTER

预防

• 来自不寻常的 Microsoft 签名模块的 Shellcode
• 未签名模块中的未备份 Shellcode
• 从低信誉模块执行 Shellcode
• 通过无效代码签名进行潜在逃避
• 线程因无备份内存而暂停
• 可疑的可执行内存映射

雅拉

Elastic Security 已创建 YARA 规则来识别此活动。

rule Windows_Trojan_Shellter {  
    meta:  
        author = "Elastic Security"  
        creation_date = "2025-06-30"  
        last_modified = "2025-06-30"  
        os = "Windows"  
        arch = "x86"  
        category_type = "Trojan"  
        family = "Shellter"  
        threat_name = "Windows.Trojan.Shellter"  
        reference_sample = "c865f24e4b9b0855b8b559fc3769239b0aa6e8d680406616a13d9a36fbbc2d30"

    strings:  
        $seq_api_hashing = { 48 8B 44 24 ?? 0F BE 00 85 C0 74 ?? 48 8B 44 24 ?? 0F BE 00 89 44 24 ?? 48 8B 44 24 ?? 48 FF C0 48 89 44 24 ?? 8B 04 24 C1 E8 ?? 8B 0C 24 C1 E1 ?? 0B C1 }  
        $seq_debug = { 48 8B 49 30 8B 49 70 8B 40 74 0B C1 25 70 00 00 40 85 C0 75 22 B8 D4 02 00 00 48 05 00 00 FE 7F }  
        $seq_mem_marker = { 44 89 44 24 ?? 89 54 24 ?? 48 89 4C 24 ?? 33 C0 83 F8 ?? 74 ?? 48 8B 44 24 ?? 8B 4C 24 ?? 39 08 75 ?? EB ?? 48 63 44 24 ?? 48 8B 4C 24 }  
        $seq_check_jmp_rcx = { 48 89 4C 24 ?? B8 01 00 00 00 48 6B C0 00 48 8B 4C 24 ?? 0F B6 04 01 3D FF 00 00 00 75 ?? B8 01 00 00 00 48 6B C0 01 48 8B 4C 24 ?? 0F B6 04 01 3D E1 00 00 00 75 ?? B8 01 00 00 00 }  
        $seq_syscall_stub = { C6 84 24 98 00 00 00 4C C6 84 24 99 00 00 00 8B C6 84 24 9A 00 00 00 D1 C6 84 24 9B 00 00 00 B8 C6 84 24 9C 00 00 00 00 C6 84 24 9D 00 00 00 00 C6 84 24 9E 00 00 00 00 }  
        $seq_mem_xor = { 48 8B 4C 24 ?? 0F B6 04 01 0F B6 4C 24 ?? 3B C1 74 ?? 8B 44 24 ?? 0F B6 4C 24 ?? 48 8B 54 24 ?? 0F B6 04 02 33 C1 8B 4C 24 ?? 48 8B 54 24 ?? 88 04 0A }  
        $seq_excep_handler = { 48 89 4C 24 08 48 83 EC 18 48 B8 E8 E7 E6 E5 E4 E3 E2 E1 48 89 04 24 48 8B 44 24 20 48 8B 00 81 38 05 00 00 C0 }  
    condition:  
        3 of them  
}

观察结果

所有可观察数据均可采用 ECS 和 STIX 格式下载。

本研究讨论了以下可观察的结果。

参考资料

上述研究参考了以下内容：

• https://x.com/DarkWebInformer/status/1923472392157790700
• https://www.shellterproject.com/shellter-editions-feature-comparison-table/
• https://www.shellterproject.com/Downloads/ShellterElite/Shellter_Elite_Exclusive_Features.pdf
• https://github.com/elastic/labs-releases/tree/main/tools/shellter