Git地址:
chvancooten/NimPackt-v1:基于 Nim 的装配打包器和 shellcode 加载器,用于 opsec 和利润 (github.com)
描述
NimPackt是一个基于Nim的打包程序,用于针对Windows的.NET(C#)可执行文件和shellcode。它会自动将有效负载包装在编译为本机C的Nim二进制文件中,因此更难检测和逆向工程。有两种主要的执行方法:
Execute-Assembly
重新打包 .NET 可执行文件并运行它,可以选择应用规避措施,如 API 取消挂钩、AMSI 修补或禁用 ETW。Shinject
使用原始的、与位置无关的 shellcode 获取.bin文件,并在本地或远程进程中执行它,可以选择使用直接系统调用来触发 shell 代码或修补 API 钩子来逃避 EDR。
目前,NimPackt具有以下功能。
- 使用静态系统调用来修补执行以规避 EDR
- 通过使用 ShellyCoat 刷新来取消生成线程的用户模式 API 的钩子
NTDLL.dll
- 修补程序 Windows 事件跟踪 (ETW)
- 修补反恶意软件扫描接口 (AMSI)
- AES 使用随机密钥对有效负载进行加密,以防止静态分析或指纹识别
- 编译为或
exe
dll
- 支持跨平台编译(来自 Linux 和 Windows)
- 与 CobaltStrike 集成,用于生成 ezpz 有效载荷😎
可以在此处找到用于进攻性工具的基于 C# 的二进制文件的重要来源。强烈建议您自己编译 C# 二进制文件。即使嵌入式二进制文件已加密,也应对敏感二进制文件(如 Mimikat