bilibili圖片隱寫加載shellcode工具

現在只對常讀和星標的公眾號才展示大圖推送，建議大家把瀟湘信安“設為星標”，否則可能看不到了！

工具介紹

bimg-shellcode-loader是一個使用bilibili圖片隱寫功能加載shellcode的工具。當然你可以使用任何地方的圖片。

在調研C2通訊方式時，發現有一個有師傅使用了bilbili圖片隱寫功能加載shellcode，覺得這個方法很有意思，就自己寫了一個工具，添加了反沙箱功能。

如果這個項目對你有幫助，歡迎star。

使用步驟

1. 生成包含隱寫信息的圖片

使用generate.go生成包含shellcode的圖片，生成的圖片為out_file.png。

在generate.go同級目錄下存放shellcode文件，文件名為shellcode.bin；圖片為img.png，隨后用運行generate.go生成out_file.png。

go run generate.go

2. 上傳圖片到bilibili

登陸訪問創作中心，點擊上傳圖片，把生成的圖片上傳上去。

https://member.bilibili.com/platform/upload/text/edit

通過瀏覽器開發者工具，查看上傳圖片的請求，找到圖片的返回地址，復制下來。

把圖片地址填入到shellcodeLoader.go中的imgUrl變量中。

3. 編譯加載器

CGO_ENABLED=0 GOOS=windows GOARCH=amd64 GOPRIVATE=* GOGARBLE=* garble -tiny -literals -seed=random build -ldflags  "-w -s -buildid= -H=windowsgui" -buildmode="pie"

免殺效果

只測試了360和微步

微步反沙箱，判斷當前系統壁紙，如果是沙箱內的壁紙就退出。大家有遇到的沙箱或者分析機，提取壁紙的md5放入列表中。

md5List := []string{"fbfeb6772173fef2213992db05377231", "49150f7bfd879fe03a2f7d148a2514de", "fc322167eb838d9cd4ed6e8939e78d89", "178aefd8bbb4dd3ed377e790bc92a4eb", "0f8f1032e4afe1105a2e5184c61a3ce4", "da288dceaafd7c97f1b09c594eac7868"}

微步沙箱檢測通過0/24，并且沒有檢測到網絡通信。