Ferramentas Gringo

Documentacao tecnica completa — Analises de codigo, arquitetura, tecnicas de evasao e resultados de testes

Ferramentas Disponiveis

Advanced New Loader

Framework completo de delivery de shellcode com Proof-of-Work anti-sandbox, syscalls indiretas (Hell's Gate + Halo's Gate), ETW patching, e junk code polimorfico. Suporta EXE, DLL e PowerShell.

Defender: 100%CrowdStrike: 100%

Shellter Elite v11.1

Injetor dinamico de shellcode em PEs legitimos. Traca execucao real do binario e injeta em pontos descobertos dinamicamente. Inclui unhooking, AMSI bypass, ETW evasion e mais.

Defender: 100%CrowdStrike: Detectado

Print Monitor DLL (indirect_dll_V7)

Framework de persistencia via Print Spooler com syscall spoofing via VEH + Hardware Breakpoints, Halo's Gate, stager HTTP/HTTPS, e execucao como NT AUTHORITY\SYSTEM.

Defender: OKCrowdStrike: Bloqueado

Blinder (EDR Silenciador)

Remove 70+ callbacks do kernel via BYOVD. Cega EDRs sem matar processos. Permite execucao de ferramentas normalmente bloqueadas. Tempo de execucao ~15 segundos.

CrowdStrike: 100%Defender: 100%

Comparativo Rapido

FerramentaTipoAnti-SandboxSyscallsDefenderCrowdStrike
Loader (PoW=2000) Shellcode wrapper Proof-of-Work (~15min) Hell's Gate + Halo's Gate Invisivel Invisivel
Blinder EDR Silenciador Nenhum BYOVD + Physical Memory Funciona Funciona
Shellter Elite PE Infector Nenhum Trampolines ntdll Invisivel Detectado
Print Monitor DLL Stager + Persistencia Fibonacci sleep VEH + Hardware BP + Halo's Gate Funciona Bloqueado

Tecnicas de Evasao por Ferramenta

Advanced New Loader

  • AES-256-CBC + XOR — Criptografia multi-camada
  • Proof-of-Work — Atrasa descriptografia, sandboxes desistem
  • PEB Walking — APIs resolvidas por hash, sem strings
  • Hell's Gate + Halo's Gate — Syscalls indiretas
  • ETW Patching — Silencia telemetria
  • Junk Code — Ate 1 milhao de funcoes falsas
  • IL Emit (PS1) — Execucao via CALLI, sem DllImport

Shellter Elite

  • Dynamic Tracing — Injeta no fluxo real de execucao
  • Polymorphic Decoder — Muda a cada build
  • AES-128 + Compression — Payload criptografado
  • Unhooking ntdll — Remapeia DLL limpa
  • AMSI Bypass — 2 metodos diferentes
  • Memory Scan Evasion — Encode/decode on-the-fly
  • CallStack Evasion — Tampera stack trace

Recomendacao para Operacao

Para alvos com CrowdStrike, usar o Loader com PoW >= 2000 para acesso inicial. Para pos-exploracao, usar o Blinder para cegar o EDR e rodar ferramentas bloqueadas. Persistencia contra CS ainda em pesquisa.

Arquitetura de Ataque Recomendada

1. Gerar shellcode (BRC4/CS) → beacon.bin
2. Builder encapsula com PoW=2000 → payload.exe
3. Entregar ao alvo (phishing, upload via acesso inicial)
4. Alvo executa → PoW calcula ~15min → beacon conecta ao C2
5. Via beacon → rodar Blinder (WdFilter.exe -d) → cega EDR
6. Executar ferramentas e pos-exploracao sem alertas