藍隊追蹤者工具TrackAttacker，以及免殺馬生成工具。

做過防守的都知道大HW時的攻擊IP量，那么對于這些攻擊IP若一個個去溯源則顯得效率低下，如果有個工具可以對這些IP做批量初篩是不是更好？

0x2 TrackAttacker獲取

https://github.com/Bywalks/TrackAttacker

Golang免殺馬生成工具，在重復(fù)造輪子的基礎(chǔ)上盡可能多一點自己的東西，最重要的loader部分參考其他作者。

相較其他免殺工具具備以下優(yōu)勢：
使用fyne的GUI界面，不算難看，簡單易懂，還有個炫酷的進度條！wakuwaku(^▽)
可自定義多種反沙箱，其中檢查微信的適合釣魚
可自定義多種編譯選項，支持garble編譯環(huán)境
分離免殺(本地/HTTP)
支持打包PE文件（如mimikatz）
支持竊取數(shù)字簽名
偽造微軟其他軟件添加icon和versioninfo

環(huán)境準備

在生成免殺馬之前請注意以下四件事
確保安裝Golang且環(huán)境變量中包含go否則無法編譯
請在當(dāng)前目錄先執(zhí)行g(shù)o env -w GO111MODULE=on然后go mod download命令下載依賴
生成木馬時需將殺軟關(guān)閉，go產(chǎn)生的中間文件會被查殺
如果下載依賴過慢配置鏡像go env -w GOPROXY=https://mirrors.aliyun.com/goproxy。國內(nèi)用戶建議配置。

使用方法
后綴支持bin/exe/dll，可輸入絕對路徑或相對路徑或點擊按鈕選擇。默認beacon.bin。（必選）
生成木馬的名稱。默認result.exe。（必選）
選擇shellcode加密算法（必選）
選擇loader（必選）
本地分離免殺，可輸入絕對路徑或相對路徑，但生成的文件（默認code.txt）是固定在當(dāng)前目錄生成，木馬會去讀取目標路徑下的分離shellcode
遠程分離免殺，木馬去請求網(wǎng)絡(luò)地址下載shellcode，加密的shellcode為當(dāng)前目錄的code.txt
偽造數(shù)字簽名，選擇一個具有簽名的微軟文件，如MSbuild.exe等。
反沙箱
編譯選項

常見問題
勾選garble編譯時閃退：想勾選garble編譯的需提前安裝好garble，怕被說留后門啥的所以我這邊不提供這種第三方的工具。
https://github.com/burrowers/garble
安裝命令很簡單go install mvdan.cc/garble@latest，不放心的可以去點進garble的github自己安裝！

32位/64位問題：該框架生成的木馬是go編譯的，所以arch也是go的編譯環(huán)境決定的，默認安裝的會根據(jù)自身系統(tǒng)的arch來，命令行輸入go env | findstr GOARCH可以查看。

32位的免殺效果實在太拉，個人實戰(zhàn)中遇到非要32位的系統(tǒng)也不多，所以之前沒有提，實在需要32位的輸入set GOARCH=386可以生成32位的木馬，64位：set GOARCH=amd64 。

下載地址
https://github.com/piiperxyz/AniYa