手把手教你学会nim快速免杀

admin 2022年6月17日19:52:48评论264 views字数 1065阅读3分33秒阅读模式


手把手教你学会nim快速免杀

戟星安全实验室


    忆享科技旗下高端的网络安全攻防服务团队.安服内容包括渗透测试、代码审计、应急响应、漏洞研究、威胁情报、安全运维、攻防演练等

本文约1000字,阅读约需3分钟。



0x00  NIM介绍


1. Nim 是一门开源的编程语言

2.  Nim 的独到之处在于它可以编译成其他编程语言代码(主要是 C 语言和 JavaScript)

3.  将 Nim与 C 语言或 JavaScript 代码集成在一起可以获得最大的价值

4. Nim 可以生成高质量的 C 语言代码,避免出现 C 语言的典型错误(如内存泄露和数组指针错误)



0x01  NIM下载


NIM 下载地址:

https://nim-lang.org/install.html

手把手教你学会nim快速免杀



0x02  安装



手把手教你学会nim快速免杀


添加到环境变量,测试

然后下载nim免杀项目

https://github.com/aeverj/NimShellCodeLoader.git


进入NimShellCodeLoader_Winx64NimShellCodeLoaderencryption 目录,使用以下代码编译

nim c -d:release --opt:size Tdea.nimnim c -d:release --opt:size Caesar.nim

手把手教你学会nim快速免杀

编译codeLoder项目


手把手教你学会nim快速免杀



0x03  使用


打开 codeLoader.exe 图形化界面,将cs生成的test.bin 直接拖进来


手把手教你学会nim快速免杀

目前提供了20+ 免杀方式,这里使用CopyFileEx-ACE


手把手教你学会nim快速免杀


生成的文件放在NimShellCodeLoaderbin 目录下

经测试,目前360和火绒可正常上线


手把手教你学会nim快速免杀


手把手教你学会nim快速免杀

VT结果,将将就就


手把手教你学会nim快速免杀



0x04 总结



  1. 使用该方式免杀,生成的文件还是比较小的,大概400k左右。部分场景可以利用bitsadmin、certutil等落地执行。

  2. 使用偏门语言的shellcode加载器处理免杀,一直是很流行的方案,语言也一变在变,从最开始的python免杀,go免杀到现在的nim语言免杀。

  3. 实际场景发现,目前加载器方法可以静态过某数字,但执行beacon还是会掉线,有待进一步优化。


 声明

    由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,戟星安全实验室及文章作者不为此承担任何责任。

    戟星安全实验室拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经戟星安全实验室允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。


手把手教你学会nim快速免杀

戟星安全实验室

# 长按二维码 关注我们 #



原文始发于微信公众号(戟星安全实验室):手把手教你学会nim快速免杀

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月17日19:52:48
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   手把手教你学会nim快速免杀http://cn-sec.com/archives/1125231.html

发表评论

匿名网友 填写信息