探索安全领域的隐蔽武器:Mortar Loader
在网络安全的红队行动中,隐藏和规避检测是至关重要的一环。Mortar Loader 是一项创新的技术,它在内存流中执行加密与解密PE/Shellcode,并利用多种注入技术来躲避安全产品的检测和预防。
项目介绍
Mortar Loader的设计旨在绕过诸如Kaspersky、ESET AV/EDR、Malwarebytes等主流反病毒产品以及高级XDR解决方案。其最新版本(v3)添加了更多高级功能,如文件无痕执行、早期Bird APC注入、进程伪装、支持命名管道、字符串和函数调用混淆,以及隐蔽的重加载子程序和延迟执行技术。
该项目的详细技术描述可参见官方博客,以便深入了解其工作原理和应用策略。
技术分析
Mortar Loader 的核心在于其加密和动态加载机制。加密器将C ShellCode或PE二进制文件加密成.enc文件,而Loader库则负责在运行时解密并执行这些代码。新版本引入的早期Bird APC注入和Process Masquerading等技术,使得恶意软件在目标系统上的存在更加隐形。
此外,通过结合远程payload获取,Mortar Loader支持PE分叉和命名管道通信,为攻击者提供了更大的灵活性和隐蔽性。
应用场景
Mortar Loader适用于以下场景:
- 红队测试:评估组织的安全防御体系,找出潜在漏洞。
- 恶意软件研究:学习和理解先进的逃避技术。
- 安全培训:教授如何检测和应对这类威胁。
项目特点
- 高隐蔽性:Mortar Loader已经验证成功绕过了多个顶级安全解决方案。
- 多功能性:支持多种注入技术和执行方式,包括文件无痕执行和远程负载。
- 易用性:提供简单的命令行接口进行加密和加载操作。
- 持续更新:开发团队不断推出新的特性和改进。
要编译项目,只需安装Free Pascal和Lazarus IDE,并按照提供的说明进行操作。
获取与支持
你可以从项目的发布部分下载预编译的Encryptor,或者直接用Lazarus IDE进行编译。作者的辛勤工作完全基于个人时间,赞助他可以得到更早的预览版和一对一的支持。
- 发布信息:
如果你对Mortar Loader感兴趣,那么这绝对值得你在自己的工具箱中添加的一项技术。立即尝试,探索其强大之处吧!
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
