简介
使用偏门语言的shellcode加载器处理免杀,一直是很流行的方案,语言也一变在变,从最开始的python免杀,go免杀;到现在的nim语言免杀。nim语言生成的文件还是比较小的,大概400k左右,部分场景可以利用bitsadmin、certutil等落地执行。
目前加载器方法可以静态过某数字,但执行beacon还是会掉线,有待进一步优化。
环境搭建
需要下载nim语言环境:
提供了windows版本和unix版本的;网址进不去的话就需要利用代理进入
然后根据系统版本下载相应的版本
下载之后配置一下环境变量,底部也有配置方式。
然后需要还需要有一个c编译器依赖,官网中也可以直接下载
加载免杀
都安装好了之后,下载shellcode加载器:
https://github.com/aeverj/NimShellCodeLoader/releasesgithub上有已经编译好的,就不用在去编译一次了。
下载解压后双击exe文件即可打开。
该加载器配置多种免杀方案进行绕过各类杀软,自行测试
使用过程
使用cobalt strike生成raw格式的x64 payload.bin文件。
打开上述界面,将payload.bin文件拖入shellcode一栏,选择加密处理方式,店家generate即可生成文件。
输出生成的可执行文件在 NimShellCodeLoader_Winx64\NimShellCodeLoader\bin 目录 。
生成文件之前一定要确保环境变量已经配置好,可以正常进行文件编译操作。
结语
已无暇顾及过去,要向前走。