Gllloader - 集成多种语言免杀加载器

0x01 前言

这篇文章为@我不是格林师傅投稿，这个项目是他写的一个免杀工具，集成了C/C++ 、C# 、Nim 、PowerShell等多种语言的免杀加载器。

https://github.com/INotGreen/Gllloader

0x02 更新

[+]2022-4-27：
加载模块:nim、powershell，可免杀卡巴斯基，windows defender ，360，火绒

[+]2022-5-18:
1.添加C/C++加载模块，可免杀windows defender 、360、火绒
2.添加了套接字模块，Nim socket实现跨平台，并且免杀主流杀软

[+]2022-6-3改动：
1.添加了文件格式转换模块，并且ps1转vbs、ps1转exe皆可绕过windows defender
2.删除了nim加载模块，添加了Csharp加载模块（降低了免杀的效果）
3.解决了csharp的版本兼容性（可以同时在win7、服务器win2008以上的windows版本同时运行）

0x03 环境配置

运行环境：windows10

1. C/C++编译环境：安装mingw，GCC/G++编译器，并且配置环境变量，输入G++，GCC出现以下情况说明环境安装成功

2. C#编译环境: Windows自带C#编译器（csc.exe）

3. Nim编译环境: 如果要使用Nim Lang的套接字还是需要安装Nim环境和Winim的第三方库，最后配置环境变量，输入nim -version查看是否安装成功

0x04 工具介绍

启动程序

python.exe .\Gllloader.py

该工具shellcode加载模块目前有7种加载方式，C/C++五种，PowerShell和C#各一种，并且采用分离的方式进行加载。

1. C/C++加载器特点：随机化系统调用函数名称和XOR动态密钥使得每次生成的二进制文件硬编码数据不同，让杀软难以捕获特征。

2. Powershell和C#shellcode加载特点：AMSI内存初始化失败，绕过AMSI的runtime和scantime后记载二进制文件以防止杀软对恶意进程的系统监控。

3. 文件转换格式的使用方式也是大同小异，都是将powershellbase64加密解密然后分离，最后输入网址即可自动化生成VBS和exe文件。

4. 套接字模块，输入IP和端口即可自动化生成文件，这里生成Nim的套接字是跨平台的可以在任意的windows、Linux、unix上运行。

0x05 效果图

C/C++

Csharp

用CobaltStrike/MSF生成一个StagerLess的PowerShell脚本，用Base64加密解密一下脚本，或者用Obfuscation去混淆一下，将powershell脚本作分离处理

将分离过的网址填入即可。（这边需要填一下.NET的版本，问题不大）

Powershell的加载器也是一样的操作

0x06 注释

新版本的加载器降低了免杀的效果，但是过国内、微软还是轻轻松松的。

[!]注意：不要将免杀样本上传至VT、微步等公网沙箱，这些都是样本收集中心他们会无情地向安全厂商分享样本以此牟利，如果样本失效过快，我将会停止该项目的更新