前言

钓鱼攻击在现在的演练活动中逐渐成为很重要的打点方式,那么投递我们的诱饵需要对落地的文件进行一些处理或者说伪装,C系列的语言写出的文件捆绑释放容易被AV所检测,毕竟释放一个PE文件怎么样都是敏感的(当然前提是需要你释放的PE是免杀的),我们发现Nim这款语言非常适合用来做一个文件捆绑器。那么何为文件捆绑器,以及它在钓鱼攻击中投递木马时如何使用呢?

大家目前做钓鱼攻击时候,投放冲锋木马时往往只投递“一个什么行为都没有”的EXE程序,这在受害者的视角是及其不正常的,受害者在点击完你的程序之后,虽说你的C2端会立马上线受害者的电脑,但是受害者往往也会反应过来不正常,因为攻击者所发送的伪装成文档的程序,在点击完成后没有任何反应,比较反常,所以很多受害者往往会直接重启电脑或是直接发现。

工具介绍

所以我们需要一个捆绑器,在最外层,使用它将我们的木马以及伪装的文件释放出来,这样在受害者的视角就是:点击我们投递的伪装载荷,会真实的打开一个文档文件,同时我们的木马已经在某个隐蔽的目录悄悄执行了,并且释放完毕后,捆绑器会删除自己,留下的文章也是真实可以修改保存的,这样往往受害者点击完后不会发现任何异常。

流程

  1. 释放正常文件(文档、图片、PDF任何)

  2. 运行正常文件

  3. 内存中解密释放木马文件为xxx.txt(默认未开启,取消注释即可)

  4. 拷贝xxx.txt为xxx.exe

  5. 执行木马文件

  6. 自删除

程序截图

使用方法

./NimFileBinder [木马程序] [正常文档] [加密KEY]

示例:

编写一个弹窗Hello,World字符串的程序,与正常pdf文件捆绑做测试。

会直接弹出伪装的捆绑文件,test.exe弹窗程序也释放到TEMP目录运行,并且捆绑器自删除,桌面留下了正常的PDF文件,神不知鬼不觉的运行了木马。

执行程序效果如下:成功运行弹窗程序以及pdf文件,当然实战中可以是任何格式文档以及替换为木马程序即可。

test.exe释放至C:\Windows\Temp\

免杀效果

小红伞:

360安全卫士核晶防护:

火绒安全防护:

卡巴斯基终端防护(EDR):

Windows Defender:

赛门铁克终端防护(EDR):

本次效果测试只针对最新版本捆绑器效果,并不包含实战中所需木马免杀,实战中需保证要捆绑的木马文件免杀即可,关于木马免杀,星球内有更多介绍。

GitHub旧版捆绑器传送门:NimFileBinder

最新版本捆绑器以及更多好玩的工具、免杀,红队技巧欢迎加入知识星球「黑客在思考和他的朋友们」

「钓鱼攻击」免杀钓鱼上线捆绑利器相关推荐

  1. 阿里达摩院 AI医疗 「铸剑」四年:上线170家医院,落地57座城市

    疫情突然,对于各行各业来说都是一场大考,尤其是 AI 医疗行业,从疫情咨询.药物研发.病毒基因分析再到临床诊断等多个环节,紧急上阵,达摩院医疗 AI 团队却连点成线,应用「处处开花」. 在这背后,是达 ...

  2. 哈佛医学院解析:触发医学深度学习系统受到「对抗攻击」的诱因有哪些?

    原文来源:arXiv 作者:Samuel G. Finlayson.Isaac S. Kohane.Andrew L. Beam 「雷克世界」编译:EVA 对抗样本的发现引起了人们对深度学习系统的实际 ...

  3. 黑客攻击-木马免杀之PE文件

    当你好不容易弄出来一个木马(具体可参考这里)的时候,却被杀毒软件轻易的就检测出来了,那一切岂不是白费了.Win10中的windows defender基于流量检测很容易把常见的木马程序检测出来,那怎么 ...

  4. 关于钓鱼攻击和防范这些事

    本文将从攻击.检测处置和防范三个维度,分别介绍钓鱼攻击方式.钓鱼邮件安全事件运营及防范措施. 1.钓鱼攻击矩阵 1.1 钓鱼攻击概述 利用社会工程学进行攻击,是实战攻击中出现率非常高的手法之一. 使用 ...

  5. 网络钓鱼攻击技术分析及防范

    网络钓鱼攻击技术分析及防范 网络钓鱼攻击技术分析及防范 Author: rayh4c [80sec] EMail: rayh4c#80sec.com Site: http://www.80sec.co ...

  6. OpenSea钓鱼攻击事件得到的启发警惕

    转载原文链接:http://www.btcwbo.com/5018.html 2月19日,攻击者成功从Opensea用户手中偷走了254个NFT,其中包括珍贵的Decentraland和Boredap ...

  7. 实例解析网络钓鱼攻击的幕后

    实例解析网络钓鱼攻击的幕后 网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名.口令.帐号ID.ATM PIN码或信用卡详细信息)的一种攻击方式. ...

  8. CobaltStrike使用-第四篇(鱼叉钓鱼攻击-细思极恐)

    前三篇文章介绍了CS的基本使用方法和模块,本篇将会具体介绍CS进行鱼叉钓鱼攻击 鱼叉钓鱼攻击 鱼叉式网络钓鱼攻击针对特定组织内的特定目标个体,相对于普通钓鱼攻击来说针对的目标更加精准,所以形象的成为鱼 ...

  9. 钓鱼攻击防不胜防,该如何预防网络钓鱼攻击?

    "网络钓鱼"是一种网络欺诈行为,是指不法分子利用各种手段,仿冒真实网站地址及页面内容,欺骗消费者或者窃取访问者提交的账号和密码等私人信息.钓鱼网站通常主要通过电子邮件.短信等网络方 ...

最新文章

  1. Myeclipse优化配置
  2. js 位运算符 ~, ,| ,^
  3. nc拉单查询模版_用友NC的模板管理_操作步骤
  4. leetcode 208 python3
  5. MySQL基础 - 注意事项
  6. Hadoop单机和伪分布式环境搭建
  7. 权限控制_多租户系统设计之权限控制
  8. linux 常用正则表达式,Linux中基本正则表达式
  9. iCollections 7 for Mac(桌面整理工具)
  10. pyqt自定义信号与槽(Signals and Slots)
  11. 数据库存储过程讲解与实例
  12. h5 +css +js +jq 基础知识总结
  13. html包含字体文件路径,系统字体文件夹路径
  14. 注册苹果开发者账号遇到问题汇总
  15. 计算机对齐方式在哪里,word文档中默认的对齐方式是什么
  16. iOS11开发新增功能大全
  17. 计算机系一班班会,迎新 · 破冰会|“情暖计算机,友爱一九一”——记计算机类19-1班新生破冰班会...
  18. 懒人玩Arm-2D究竟有几种姿势?
  19. 【英语面试】五.计算机专业英语面试常见问题(兴趣爱好/实践经历篇)
  20. core控制器属性注入的用处_.NET Core原生DI扩展之属性注入实现

热门文章

  1. c语言字符加密向后四位_Base64加密?它只是一种编码算法,切勿用来加密
  2. 一文看懂PCA主成分分析
  3. 如何进行Tuxera NTFS的挂载卷设置?实现MacOS对NTFS磁盘的完全读写功能
  4. mysql服务2013错误_错误2013(HY000):在“读取授权数据包”时丢失与MySQL服务器的连接,系统错误:0...
  5. 2.1基本算法之枚举_1749数字方格
  6. 1.3 编程基础之算术表达式与顺序执行 13 反向输出一个三位数(C++ Scratch)
  7. 利用moviepy库制作好用的MP4、mov、mav、avi等视频类型转换gif图片的工具
  8. 最新js实现复制粘贴功能实例
  9. c语言除法加括号么,算不了除法,为什么?
  10. hive 修改cluster by算法_Hive基础之导出数据