Entry № 696
加载器(Loader)
加载器(Loader) 是什么?
加载器(Loader)一种为攻击下一阶段做准备并将后续载荷(通常直接在内存中)加载执行的恶意软件。
Loader 是一种专门的第一阶段组件,其主要任务是获取、解码并在内存中执行额外的恶意软件,常用反射型 DLL 注入、进程镂空(process hollowing)或 shellcode 等技术。它通常会先对主机进行画像、削弱防御并建立持久化,然后再把控制权交给后续阶段。Loader 是现代"恶意软件即服务"生态的核心环节,访问中介通过它向勒索软件附属组织或信息窃取器运营者出售感染主机。防御措施包括具备注入行为检测能力的 EDR/XDR、AMSI、PowerShell 受限语言模式、应用程序白名单,以及对 IcedID、Smoke Loader、Bumblebee 等常见 loader 家族的威胁情报。
● 示例
- 01
被观察到分发 Cobalt Strike 与勒索软件的 Bumblebee。
- 02
长期活跃的按次付费 loader 家族 Smoke Loader / Dofoil。
● 常见问题
加载器(Loader) 是什么?
一种为攻击下一阶段做准备并将后续载荷(通常直接在内存中)加载执行的恶意软件。 它属于网络安全的 恶意软件 分类。
加载器(Loader) 是什么意思?
一种为攻击下一阶段做准备并将后续载荷(通常直接在内存中)加载执行的恶意软件。
如何防御 加载器(Loader)?
针对 加载器(Loader) 的防御通常结合技术控制与运营实践,详见上方完整定义。
加载器(Loader) 还有哪些其他名称?
常见的别称包括: 恶意加载器, 一阶段 Loader。