Утечка элитного фреймворка SHELLTER: как инструмент для легитимного тестирования стал оружием киберпреступников

SHELLTER десятилетиями помогал "красным командам" в санкционированных тестах на проникновение, минимизируя необходимость постоянной доработки эксплойтов при обновлении сигнатур защитных систем. Разработчик, Shellter Project, внедрил строгие меры предосторожности: географические ограничения продаж, проверку организаций-покупателей и жёсткие лицензионные соглашения. Однако, как показали события, мотивированные злоумышленники сумели обойти эти барьеры. Анализ образцов выявил уникальные возможности фреймворка, включая полиморфный мусорный код, который внедряется в легитимные программы, динамически меняя структуру для обхода статического анализа. При выполнении SHELLTER генерирует самоизменяющийся шеллкод, сочетающий валидные инструкции с обфусцированными фрагментами, что сбивает с толку дизассемблеры и эмуляторы.

Ключевой особенностью стал механизм "отцепления" (unhooking) системных модулей. Для обхода перехвата API SHELLTER создаёт чистую копию ntdll.dll через низкоуровневые вызовы NtCreateSection и NtMapViewOfSection, либо загружает её из каталога KnownDLLs. Это позволяет вредоносу избегать детектирования EDR-системами, отслеживающими модификации памяти. Полезная нагрузка шифруется алгоритмом AES-128 CBC, причём ключи либо встраиваются непосредственно в бинарник, либо запрашиваются с сервера злоумышленников. В образцах с внедрёнными ключами исследователям удалось извлечь финальные вредоносные модули. Дополнительно применяется сжатие LZNT1 для уменьшения размера и усложнения анализа.

Инновационной стала техника обхода контроля стека вызовов. При активации опций вроде --Force-PreloadModules-Networking SHELLTER предзагружает критические DLL (wininet.dll, crypt32.dll) через LoadLibraryExW, но маскирует источник вызова, искажая записи в стеке. В процессе мониторинга Procmon это проявляется как "усечённый" стек, где отсутствуют указатели на реальный инициатор операции. Более того, фреймворк целенаправленно удаляет из PEB LDR декой-модули, используемые некоторыми EDR как "канарейки" для обнаружения ручного перечисления загруженных библиотек. В наблюдаемых образцах таким модулем неизменно выступала поддельная kern3l32.dll.

Для противодействия динамическому анализу SHELLTER реализует комплексные методы. API-хэширование с динамическим ключом, основанным на SystemTime из структуры KUSER_SHARED_DATA, затрудняет идентификацию вызовов. Алгоритм seeded-ROR13 преобразует имена функций, а полученные указатели дополнительно обфусцируются через XOR и битовые сдвиги. Анти-отладочные техники включают проверку флагов кучи процесса и флага KdDebuggerEnabled. Гипервизор детектируется через комбинацию вызовов ZwQuerySystemInformationEx и инструкций CPUID. Для борьбы с AMSI применяется двойной подход: патчинг строки "AMSI" в памяти на нулевые байты и саботаж COM-интерфейсов путём повреждения указателя на CLSID_Antimalware в amsi.dll.

Особую озабоченность вызывает встроенная система лицензирования. Каждый образец содержит три временные метки FILETIME: срок действия лицензии, дату самоуничтожения и время начала инфекции. При истечении лицензии (во всех образцах жёстко зашито 17 апреля 2026 года) срабатывает "предохранитель", пропускающий основную логику вредоноса. Через год после заражения активируется механизм самоочистки: анмаппинг ручных копий ntdll.dll и очистка таблиц NTAPI. Постоянство даты истечения лицензии во всех образцах указывает, что злоумышленники получили единую копию SHELLTER Elite. Elastic Security Labs разработала YARA-правило для идентификации этого артефакта.

С апреля 2025 года зафиксировано несколько кампаний. LUMMA распространялся через файлообменник MediaFire под видом легитимного ПО. ARECHCLIENT2 внедрялся через фишинговые письма к авторам YouTube, имитирующие предложения спонсорства от Udemy или Duolingo. В архивах .rar скрывался подписанный сертификатами исполняемый файл с низким уровнем детектирования на VirusTotal. RHADAMANTHYS продвигался в комментариях к видео о игровых читах, ведущих на заражённые MediaFire-ссылки. В ответ на угрозу Elastic выпустила динамический распаковщик для SHELLTER-защищённых бинарников, сочетающий статический и динамический анализ. Инструмент способен извлекать несколько стадий полезной нагрузки, хотя разработчики предупреждают о необходимости запуска в изолированной среде из-за рисков выполнения вредоносного кода в процессе распаковки.

Эта история подчёркивает парадокс инструментов двойного назначения: даже при строгих мерах безопасности они могут стать угрозой при утечке. SHELLTER демонстрирует уровень изощрённости, ранее несвойственный массовым инфостилерам, что требует от защитных систем адаптации к сложным многоуровневым техникам уклонения. Распространение подобных фреймворков в преступной среде сигнализирует о новом этапе гонки вооружений в кибербезопасности, где на кону - способность детектировать атаки, замаскированные под легитимные операции.

IPv4

• 185.156.72.80
• 94.141.12.182

Domains

• eaglekl.digital
• plotoraus.shop

SHA256

• 263ab8c9ec821ae573979ef2d5ad98cda5009a39e17398cd31b0fad98d862892
• 70ec2e65f77a940fd0b2b5c0a78a83646dec17583611741521e0992c1bf974f1
• 7d0c9855167e7c19a67f800892e974c4387e1004b40efb25a2a1d25a99b03a10
• b3e93bfef12678294d9944e61d90ca4aa03b7e3dae5e909c3b2166f122a14dad
• c865f24e4b9b0855b8b559fc3769239b0aa6e8d680406616a13d9a36fbbc2d30
• da59d67ced88beae618b9d6c805f40385d0301d412b787e9f9c9559d00d2c880