前言

釣魚攻擊在現在的演練活動中逐漸成為很重要的打點方式，那么投遞我們的誘餌需要對落地的文件進行一些處理或者說偽裝，C系列的語言寫出的文件捆綁釋放容易被AV所檢測，畢竟釋放一個PE文件怎么樣都是敏感的(當然前提是需要你釋放的PE是免殺的)，我們發現Nim這款語言非常適合用來做一個文件捆綁器。那么何為文件捆綁器，以及它在釣魚攻擊中投遞木馬時如何使用呢？

大家目前做釣魚攻擊時候，投放沖鋒木馬時往往只投遞“一個什么行為都沒有”的EXE程序，這在受害者的視角是及其不正常的，受害者在點擊完你的程序之后，雖說你的C2端會立馬上線受害者的電腦，但是受害者往往也會反應過來不正常，因為攻擊者所發送的偽裝成文檔的程序，在點擊完成后沒有任何反應，比較反常，所以很多受害者往往會直接重啟電腦或是直接發現。

工具介紹

所以我們需要一個捆綁器，在最外層，使用它將我們的木馬以及偽裝的文件釋放出來，這樣在受害者的視角就是：點擊我們投遞的偽裝載荷，會真實的打開一個文檔文件，同時我們的木馬已經在某個隱蔽的目錄悄悄執行了，并且釋放完畢后，捆綁器會刪除自己，留下的文章也是真實可以修改保存的，這樣往往受害者點擊完后不會發現任何異常。

流程

釋放正常文件(文檔、圖片、PDF任何)

運行正常文件

內存中解密釋放木馬文件為xxx.txt(默認未開啟，取消注釋即可)

拷貝xxx.txt為xxx.exe

執行木馬文件

自刪除

程序截圖?

使用方法?

./NimFileBinder [木馬程序] [正常文檔] [加密KEY]

示例：

編寫一個彈窗Hello,World字符串的程序，與正常pdf文件捆綁做測試。

會直接彈出偽裝的捆綁文件，test.exe彈窗程序也釋放到TEMP目錄運行，并且捆綁器自刪除，桌面留下了正常的PDF文件，神不知鬼不覺的運行了木馬。

執行程序效果如下：成功運行彈窗程序以及pdf文件，當然實戰中可以是任何格式文檔以及替換為木馬程序即可。

test.exe釋放至C:\Windows\Temp\下

免殺效果

小紅傘：

360安全衛士核晶防護：

火絨安全防護：?

卡巴斯基終端防護(EDR)：?

Windows Defender：?

賽門鐵克終端防護(EDR):

本次效果測試只針對最新版本捆綁器效果，并不包含實戰中所需木馬免殺，實戰中需保證要捆綁的木馬文件免殺即可，關于木馬免殺，星球內有更多介紹。

GitHub舊版捆綁器傳送門：NimFileBinder

最新版本捆綁器以及更多好玩的工具、免殺，紅隊技巧歡迎加入知識星球「黑客在思考和他的朋友們」

總結

以上是生活随笔為你收集整理的「钓鱼攻击」免杀钓鱼上线捆绑利器的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。