藍(lán)隊(duì)追蹤者工具TrackAttacker，以及免殺馬生成工具。

做過防守的都知道大HW時(shí)的攻擊IP量，那么對(duì)于這些攻擊IP若一個(gè)個(gè)去溯源則顯得效率低下，如果有個(gè)工具可以對(duì)這些IP做批量初篩是不是更好？

0x2 TrackAttacker獲取

https://github.com/Bywalks/TrackAttacker

Golang免殺馬生成工具，在重復(fù)造輪子的基礎(chǔ)上盡可能多一點(diǎn)自己的東西，最重要的loader部分參考其他作者。

相較其他免殺工具具備以下優(yōu)勢(shì)：
使用fyne的GUI界面，不算難看，簡(jiǎn)單易懂，還有個(gè)炫酷的進(jìn)度條！wakuwaku(^▽)
可自定義多種反沙箱，其中檢查微信的適合釣魚
可自定義多種編譯選項(xiàng)，支持garble編譯環(huán)境
分離免殺(本地/HTTP)
支持打包PE文件（如mimikatz）
支持竊取數(shù)字簽名
偽造微軟其他軟件添加icon和versioninfo

環(huán)境準(zhǔn)備

在生成免殺馬之前請(qǐng)注意以下四件事
確保安裝Golang且環(huán)境變量中包含go否則無法編譯
請(qǐng)?jiān)诋?dāng)前目錄先執(zhí)行g(shù)o env -w GO111MODULE=on然后go mod download命令下載依賴
生成木馬時(shí)需將殺軟關(guān)閉，go產(chǎn)生的中間文件會(huì)被查殺
如果下載依賴過慢配置鏡像go env -w GOPROXY=https://mirrors.aliyun.com/goproxy。國(guó)內(nèi)用戶建議配置。

使用方法
后綴支持bin/exe/dll，可輸入絕對(duì)路徑或相對(duì)路徑或點(diǎn)擊按鈕選擇。默認(rèn)beacon.bin。（必選）
生成木馬的名稱。默認(rèn)result.exe。（必選）
選擇shellcode加密算法（必選）
選擇loader（必選）
本地分離免殺，可輸入絕對(duì)路徑或相對(duì)路徑，但生成的文件（默認(rèn)code.txt）是固定在當(dāng)前目錄生成，木馬會(huì)去讀取目標(biāo)路徑下的分離shellcode
遠(yuǎn)程分離免殺，木馬去請(qǐng)求網(wǎng)絡(luò)地址下載shellcode，加密的shellcode為當(dāng)前目錄的code.txt
偽造數(shù)字簽名，選擇一個(gè)具有簽名的微軟文件，如MSbuild.exe等。
反沙箱
編譯選項(xiàng)

常見問題
勾選garble編譯時(shí)閃退：想勾選garble編譯的需提前安裝好garble，怕被說留后門啥的所以我這邊不提供這種第三方的工具。
https://github.com/burrowers/garble
安裝命令很簡(jiǎn)單go install mvdan.cc/garble@latest，不放心的可以去點(diǎn)進(jìn)garble的github自己安裝！

32位/64位問題：該框架生成的木馬是go編譯的，所以arch也是go的編譯環(huán)境決定的，默認(rèn)安裝的會(huì)根據(jù)自身系統(tǒng)的arch來，命令行輸入go env | findstr GOARCH可以查看。

32位的免殺效果實(shí)在太拉，個(gè)人實(shí)戰(zhàn)中遇到非要32位的系統(tǒng)也不多，所以之前沒有提，實(shí)在需要32位的輸入set GOARCH=386可以生成32位的木馬，64位：set GOARCH=amd64 。

下載地址
https://github.com/piiperxyz/AniYa