项目地址:
https://github.com/icyguider/Nimcrypt2
Nimcrypt2是另一个旨在绕过AV/EDR的PE打包程序/加载程序。这是对我最初的Nimcrypt项目的改进,主要改进是使用直接系统调用和加载常规PE文件以及原始 shellcode的能力。
特征:
-
NtQueueApcThread执行带有PPID欺骗和第3方DLL阻塞的Shellcode
-
系统调用名称随机化
-
能够加载 .NET 和常规 PE 文件
-
具有动态密钥生成的AES加密
-
沙盒规避
测试过的系统:
-
Windows 11 (10.0.22000)
-
Windows 10 21H2 (10.0.19044)
-
Windows 10 21H1 (10.0.19043)
-
Windows 10 20H2 (10.0.19042)
-
Windows 10 19H2 (10.0.18363)
-
Windows Server 2019 (10.0.17763)
安装依赖和编译:
Nimcrypt2是在Linux系统下用Nim设计的。在安装Nim之前,您必须确保通过包管理器安装了以下包
sudo apt install gcc mingw-w64 xz-utils git要安装Nim,我更喜欢使用choosenim,如下所示
curl https://nim-lang.org/choosenim/init.sh -sSf | shecho "export PATH=$HOME/.nimble/bin:$PATH" >> ~/.bashrcexport PATH=$HOME/.nimble/bin:$PATH
Nimcrypt2还依赖于一些可以通过Nimble安装的包,这可以这样做
nimble install winim nimcrypto docopt ptr_math strenc现在安装了所有依赖项,Nimcrypt2可以像这样编译
nim c -d=release --cc:gcc --embedsrc=on --hints=on --app=console --cpu=amd64 --out=nimcrypt nimcrypt.nim参考项目:
https://github.com/byt3bl33d3r/OffensiveNimhttps://github.com/S3cur3Th1sSh1t/Nim-RunPEhttps://github.com/S3cur3Th1sSh1t/NimGetSyscallStubhttps://github.com/ajpc500/NimlineWhispers2https://github.com/snovvcrash/NimHollow
侵权请私聊公众号删文
推荐阅读
查看更多精彩内容,还请关注橘猫学安全:
每日坚持学习与分享,觉得文章对你有帮助可在底部给点个“再看”
原文始发于微信公众号(橘猫学安全):Nimcrypt2 - 用Nim编写的.NET、PE和Shellcode打包/加载程序
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论