Este es un cargador de shellcode de Windows de alto nivel desarrollado en Go, que integra diversas técnicas modernas de evasión y contramedidas de equipos rojos. Este proyecto está destinado exclusivamente a la investigación de seguridad legítima y a las pruebas de penetración autorizadas.
- Llamadas al sistema directas: Implementadas en lenguaje ensamblador, omitiendo los ganchos en línea de la API en modo usuario.
- Suplantación de pila: Simula una pila de llamadas legítima para evadir la detección basada en el análisis de la pila de llamadas.
- Conmutación de protección de memoria (RW -> RX): Emplea un esquema de asignación de memoria en dos etapas para evitar la asignación de memoria RWX obvia.
- Ejecución de fibra: Utiliza el mecanismo de Windows Fiber para ejecutar cargas útiles en modo usuario, proporcionando contexto independiente y capacidades de evasión.
- Suspensión inteligente/Enmascaramiento de suspensión: Cifra y modifica los atributos de memoria (RW) durante la suspensión, evadiendo el escaneo de memoria.
- Resolución dinámica de SSN: Obtiene dinámicamente los números de llamada del sistema (SSN) en tiempo de ejecución, sin depender de la codificación.
- Antidepuración y antisandboxing: Integra múltiples lógicas de detección de entornos para identificar depuradores, máquinas virtuales y entornos sandbox.
- Descifrado de carga útil: Admite la adquisición remota y el descifrado en tiempo real de cargas útiles cifradas de ChaCha20.
- Preparación del entorno: Instale el entorno Go (se recomienda la versión 1.20 o superior) y configure el entorno de compilación cruzada de Windows.
- Configuración de URL: Modifique
configURLenmain.gocon la dirección de su archivo de configuración de C2. - Compilación:
GOOS=windows GOARCH=amd64 go build -ldflags="-s -w -H=windowsgui" -o loader.exe
Documentation Part1 Documentation Part2
Esta herramienta es solo para fines de investigación y aprendizaje en seguridad. Los usuarios deben cumplir con las leyes y normativas locales y tienen estrictamente prohibido usarla con fines ilegales. El autor no se responsabiliza de las consecuencias derivadas del uso de esta herramienta.