Loader 加载器恶意软件
从外部源下载恶意代码并安装到目标系统的 malware。
Loader 干的事
- 先以某种方式进入目标(钓鱼、漏洞利用、捆绑安装)
- 跑起来后联系 C2(命令控制服务器)
- 下载真正的 payload(勒索软件、间谍软件、botnet 客户端…)
- 把 payload 解码、注入、持久化
为什么用 loader 而不直接投 payload
| 好处 | 解释 |
|---|---|
| 绕过检测 | loader 体积小、行为简单,杀软更难抓 |
| 灵活换货 | 同一个 loader 今天装勒索、明天装挖矿 |
| 环境探测 | 先探”是真机还是沙箱”,真机才下 payload |
| 市场化 | 黑产里有”Loader-as-a-Service”,按”成功安装数”收费 |
Loader vs Dropper
| Loader | Dropper | |
|---|---|---|
| Payload 来源 | 远程下载 | 自带在体内 |
| 体积 | 小 | 大 |
| 需要网络 | 必须 | 不一定 |
两者经常被混用,但学术上区分这个细节。
著名 loader 家族
- Emotet —— 史上最毒 loader 之一,被多国警方联合下架
- TrickBot —— 给勒索软件 Ryuk / Conti 投递
- IcedID、BazarLoader、SmokeLoader
防御靠 EDR 行为检测、网络流量监控、邮件网关。