【工具推荐】基于虫草真菌概念的极致隐匿 Shellcode 注入工具详解

声明：该公众号分享的安全工具和项目均来源于网络，仅供安全研究与学习之用，如用于其他用途，由使用者承担全部法律及连带责任，与工具作者和本公众号无关。

前言

在现实世界中，有一种令人毛骨悚然的寄生真菌——Ophiocordyceps camponoti-balzani（虫草真菌），它能够精准操控蚂蚁行为，让其主动爬到利于孢子传播的位置，然后悄无声息地夺取宿主生命。

而在网络攻防世界，有一个灵感来自这种“虫草机制”的攻击工具，也正在悄然蔓延。

🧬 工具介绍

它是一个极其隐匿的 Shellcode 加载器，它能够将恶意 Payload（如 CobaltStrike Beacon）注入到正常的可执行文件（.exe 或 .dll）中，并在不破坏原有文件结构的前提下，实现完整的恶意代码执行。

整个加载器像“虫草”一样隐藏在宿主体内，伪装成毫无异样的正常文件。静态分析工具很难发现其踪迹，而行为检测系统（EDR/AV）则会被其多种反检测机制所欺骗。

🛡️ 核心特性

• ✅ XOR 加密 Payload，防止明文暴露
• ✅ 环境感知（Guardrail）执行，只在特定环境中解密运行
• ✅ 反仿真（Anti-Emulation）机制，绕过沙箱与 AV 仿真引擎
• ✅ EDR 混淆与去激活技术，降低内存扫描命中率
• ✅ 保留原始 PE 文件结构与元数据，对抗静态特征分析
• ✅ 函数入口劫持（Entrypoint Hijack）实现代码执行
• ✅ 无需 PEB Walk，直接复用 Import Table 实现 API 调用（Cordyceps 技术核心）

🔧 使用方式一览

此工具提供两种使用方式：Web UI 和命令行（推荐后者用于批量自动化）。

基础准备：

• 安装 [Visual Studio 2022]，包含 cl.exe 与 ml64.exe 编译环境
• 配置 Python 环境：

  pip install -r requirements.txt

命令行注入示例：

假设你有一个 calc64.bin Shellcode 和 7z.exe 可执行文件，执行如下：

python supermega.py 
--shellcode calc64.bin 
--inject 7z.exe 
--carrier alloc_rw_rx 
--decoder xor_2 
--antiemulation sirallocalot 
--carrier_invoke backdoor

即可输出一个已经注入 Shellcode 的恶意 7z.exe 文件。

⚙️ 可配置模块说明

🧙  技术细节亮点

在设计上最大程度避免了引入异常行为，例如：

• 不走 PEB 结构链，避免被行为分析引擎标记
• 使用现有 IAT 表完成函数调用，减少 API Hook 暴露
• 支持导出函数劫持（DLL 模式）
• 可选关闭自动修复 IAT 以维持 PE 结构原貌，增强 OPSEC 隐蔽性

🚫 OPSEC 注意事项

虽然提供了一系列反检测机制，但你仍需手动配置执行限制（如 --guardrail），确保其不会在分析平台或沙箱中自动触发执行。

例如：

--guardrail env --guardrail-key VCINSTALLDIR --guardrail-value Community

上述设置确保只有装有 Visual Studio 2022 的系统上才会执行，极大提高对抗动态沙箱的能力。

💭 总结与推荐

它是近年来在 shellcode 隐匿与加载领域的一款杰作，其设计理念极度贴合现代红队需求：

• 对抗现代 EDR
• 最小化静态特征
• 扩展性强，支持自定义 Carrier、Decoder、Anti-Emu 模块
• UI & CLI 双支持，适合自动化部署与演示

获得项目地址

https://github.com/dobin/SuperMega

原文始发于微信公众号（安全视安）：【工具推荐】基于“虫草真菌”概念的极致隐匿 Shellcode 注入工具详解