0x01 前言
这篇文章为@我不是格林师傅投稿,这个项目是他写的一个免杀工具,集成了C/C++ 、C# 、Nim 、PowerShell等多种语言的免杀加载器。
https://github.com/INotGreen/Gllloader
0x02 更新
[+]2022-4-27:
加载模块:nim、powershell,可免杀卡巴斯基,windows defender ,360,火绒
[+]2022-5-18:
1.添加C/C++加载模块,可免杀windows defender 、360、火绒
2.添加了套接字模块,Nim socket实现跨平台,并且免杀主流杀软
[+]2022-6-3改动:
1.添加了文件格式转换模块,并且ps1转vbs、ps1转exe皆可绕过windows defender
2.删除了nim加载模块,添加了Csharp加载模块(降低了免杀的效果)
3.解决了csharp的版本兼容性(可以同时在win7、服务器win2008以上的windows版本同时运行)
0x03 环境配置
运行环境:windows10
1. C/C++编译环境:安装mingw,GCC/G++编译器,并且配置环境变量,输入G++,GCC出现以下情况说明环境安装成功
2. C#编译环境: Windows自带C#编译器(csc.exe)
3. Nim编译环境: 如果要使用Nim Lang的套接字还是需要安装Nim环境和Winim的第三方库,最后配置环境变量,输入nim -version查看是否安装成功
0x04 工具介绍
启动程序
python.exe .\Gllloader.py
该工具shellcode加载模块目前有7种加载方式,C/C++五种,PowerShell和C#各一种,并且采用分离的方式进行加载。
1. C/C++加载器特点:随机化系统调用函数名称和XOR动态密钥使得每次生成的二进制文件硬编码数据不同,让杀软难以捕获特征。
2. Powershell和C#shellcode加载特点:AMSI内存初始化失败,绕过AMSI的runtime和scantime后记载二进制文件以防止杀软对恶意进程的系统监控。
3. 文件转换格式的使用方式也是大同小异,都是将powershellbase64加密解密然后分离,最后输入网址即可自动化生成VBS和exe文件。
4. 套接字模块,输入IP和端口即可自动化生成文件,这里生成Nim的套接字是跨平台的可以在任意的windows、Linux、unix上运行。
0x05 效果图
C/C++
用CobaltStrike/MSF生成一个StagerLess的PowerShell脚本,用Base64加密解密一下脚本,或者用Obfuscation去混淆一下,将powershell脚本作分离处理
将分离过的网址填入即可。(这边需要填一下.NET的版本,问题不大)
0x06 注释
新版本的加载器降低了免杀的效果,但是过国内、微软还是轻轻松松的。
[!]注意:不要将免杀样本上传至VT、微步等公网沙箱,这些都是样本收集中心他们会无情地向安全厂商分享样本以此牟利,如果样本失效过快,我将会停止该项目的更新