恶意软件
下载器(Downloader)
别称: 恶意下载器, 下载型木马
定义
一种轻量级恶意软件,主要功能是从远程服务器获取并执行额外的恶意载荷。
下载器是一类小型的第一阶段程序,执行后会从攻击者基础设施下载更多恶意软件。与 Dropper 不同,Downloader 自身几乎不携带载荷,而是通过 HTTP(S)、DNS 或即时通讯通道联系 C2 拉取后续阶段。这种分离使初始二进制文件保持很小且看似无害,也方便操作者按需替换载荷。常见形式包括宏/HTA 脚本、JavaScript 下载器以及被签名的木马安装器。防御措施包括出站流量过滤、对已知 C2 的 DNS 黑洞处理、能识别"下载并执行"行为的 EDR、邮件/网页隔离,以及在不需要时禁用 HTA、Windows Script Host 等高风险脚本宿主。
示例
- 长期活跃的文档型下载器 Hancitor(Chanitor)。
- 通过云存储提供商获取载荷的下载器 GuLoader。