我要评论探索安全领域的隐蔽武器:mortar loader
在网络安全的红队行动中,隐藏和规避检测是至关重要的一环。mortar loader 是一项创新的技术,它在内存流中执行加密与解密pe/shellcode,并利用多种注入技术来躲避安全产品的检测和预防。
项目介绍
mortar loader的设计旨在绕过诸如kaspersky、eset av/edr、malwarebytes等主流反病毒产品以及高级xdr解决方案。其最新版本(v3)添加了更多高级功能,如文件无痕执行、早期bird apc注入、进程伪装、支持命名管道、字符串和函数调用混淆,以及隐蔽的重加载子程序和延迟执行技术。
该项目的详细技术描述可参见官方博客,以便深入了解其工作原理和应用策略。
技术分析
mortar loader 的核心在于其加密和动态加载机制。加密器将c shellcode或pe二进制文件加密成.enc文件,而loader库则负责在运行时解密并执行这些代码。新版本引入的早期bird apc注入和process masquerading等技术,使得恶意软件在目标系统上的存在更加隐形。
此外,通过结合远程payload获取,mortar loader支持pe分叉和命名管道通信,为攻击者提供了更大的灵活性和隐蔽性。
应用场景
mortar loader适用于以下场景:
- 红队测试:评估组织的安全防御体系,找出潜在漏洞。
- 恶意软件研究:学习和理解先进的逃避技术。
- 安全培训:教授如何检测和应对这类威胁。
项目特点
- 高隐蔽性:mortar loader已经验证成功绕过了多个顶级安全解决方案。
- 多功能性:支持多种注入技术和执行方式,包括文件无痕执行和远程负载。
- 易用性:提供简单的命令行接口进行加密和加载操作。
- 持续更新:开发团队不断推出新的特性和改进。
要编译项目,只需安装free pascal和lazarus ide,并按照提供的说明进行操作。
获取与支持
你可以从项目的发布部分下载预编译的encryptor,或者直接用lazarus ide进行编译。作者的辛勤工作完全基于个人时间,赞助他可以得到更早的预览版和一对一的支持。
- 发布信息:
如果你对mortar loader感兴趣,那么这绝对值得你在自己的工具箱中添加的一项技术。立即尝试,探索其强大之处吧!
发表评论