SLoader 是一個幫助遠端控制工具繞過防毒軟體檢測的二開工具
SLoader 是一個幫助遠端控制工具繞過防毒軟體檢測的工具。
在進行深入攻防滲透時,常常需要植入 Cobalt Strike、Metasploit Framework、sliver 等工具的木馬程序來維持權限,但會被防毒軟體檢測到。Loader 可以協助遠端控制工具繞過 Defender、趨勢科技、Norton、McAfee 等防毒軟體的檢測。
技術實現
自訂擴展:利用模板自訂加載方式,創造新的加載方式。
隨機哈希:隨機生成檔案名稱,並以時間戳作為鍵對 URL 進行加密。
隱秘連結:loader 遠端加密連結 payload。
多重加密:使用 RC4、Base64、AES 演算法進行 payload 的加解密。
編譯環境
編譯環境:生成器、編碼器與加載模板均使用 C++ 開發,通過 Visual Studio 2022 靜態編譯。
編譯方式:通過 Visual Studio 2022 打開解決方案 (*.sln),選擇 release、x64 進行編譯。或直接下載使用realse。
使用方式
使用 Cobalt Strike 生成 raw 格式的 shellcode 檔案(shellcode 的位元數取決於加載器模板的位元數)
通過 encode 對 shellcode 進行加密(加密金鑰需要 16 位元組)
將生成的 bmp 檔案上傳至遠端 WEB 伺服器生成下載連結(訪問 URL 可直接下載檔案)
打開生成器,填寫 bmp 檔案的 URL 與加密金鑰,選擇自訂的加載器模板(DATA 目錄)
點選 Generate,桌面上會生成可執行的加載器檔案
實際效果
ESET
Norton (Norton 會攔截沒有簽名的程式上網,因此需要對程式進行簽名)
Defender
Trend Micro (趨勢科技)
自訂擴展
打開 plug 資料夾下的模板檔案。
自訂 testIaT_inj.cpp 代碼內容,選擇自己的方式來加載 shellcode。
根據代碼內容與 shellcode 選擇 64 位或 32 位進行靜態編譯,將編譯出的檔案進行命名,放入 DATA 目錄中,這將在 UI 上顯示為加載方式名稱。