原文链接:Gllloader - 集成多种语言免杀加载器
声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。 请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。 0x01 前言 这篇文章为@我不是格林师傅投稿,这个项目是他写的一个免杀工具,集成了C/C++ 、C# 、Nim 、PowerShell等多种语言的免杀加载器。 https://github.com/INotGreen/Gllloader 0x02 更新 [+]2022-4-27: 加载模块:nim、powershell,可免杀卡巴斯基,windows defender ,360,火绒 [+]2022-5-18: 1.添加C/C++加载模块,可免杀windows defender 、360、火绒 2.添加了套接字模块,Nim socket实现跨平台,并且免杀主流杀软 [+]2022-6-3改动: 1.添加了文件格式转换模块,并且ps1转vbs、ps1转exe皆可绕过windows defender 2.删除了nim加载模块,添加了Csharp加载模块(降低了免杀的效果) 3.解决了csharp的版本兼容性(可以同时在win7、服务器win2008以上的windows版本同时运行) 0x03 环境配置 运行环境:windows10 1. C/C++编译环境:安装mingw,GCC/G++编译器,并且配置环境变量,输入G++,GCC出现以下情况说明环境安装成功 2. C#编译环境: Windows自带C#编译器(csc.exe) 3. Nim编译环境: 如果要使用Nim Lang的套接字还是需要安装Nim环境和Winim的第三方库,最后配置环境变量,输入nim -version查看是否安装成功 0x04 工具介绍 启动程序 python.exe .\Gllloader.py 该工具shellcode加载模块目前有7种加载方式,C/C++五种,PowerShell和C#各一种,并且采用分离的方式进行加载。 1. C/C++加载器特点:随机化系统调用函数名称和XOR动态密钥使得每次生成的二进制文件硬编码数据不同,让杀软难以捕获特征。 2. Powershell和C#shellcode加载特点:AMSI内存初始化失败,绕过AMSI的runtime和scantime后记载二进制文件以防止杀软对恶意进程的系统监控。 3. 文件转换格式的使用方式也是大同小异,都是将powershellbase64加密解密然后分离,最后输入网址即可自动化生成VBS和exe文件。 4. 套接字模块,输入IP和端口即可自动化生成文件,这里生成Nim的套接字是跨平台的可以在任意的windows、Linux、unix上运行。 0x05 效果图 C/C++
Csharp 用CobaltStrike/MSF生成一个StagerLess的PowerShell脚本,用Base64加密解密一下脚本,或者用Obfuscation去混淆一下,将powershell脚本作分离处理 将分离过的网址填入即可。(这边需要填一下.NET的版本,问题不大) Powershell的加载器也是一样的操作 0x06 注释 新版本的加载器降低了免杀的效果,但是过国内、微软还是轻轻松松的。 [!]注意:不要将免杀样本上传至VT、微步等公网沙箱,这些都是样本收集中心他们会无情地向安全厂商分享样本以此牟利,如果样本失效过快,我将会停止该项目的更新
| 
发表于 2022-6-8 08:58:43