NimImplant
"Nim 프로그래밍 언어로 작성된 임플란트/백도어. MinGW-W64는 GCC로 컴파일되었으며 winim 라이브러리 덕분에 Windows API 호출을 수행합니다. SetThreadContext를 사용한 스레드 주입, BCryptGenRandom을 사용한 암호화된 통신, WSAID_CONNECTEX를 사용한 TCP C2 겹침. 20 PE 섹션 구조로 안티 분석. AV 탐지를 피하기 위해 Nim이 선택 언어가 되었습니다."
위협 프로필
유형
Backdoor
프로그래밍 언어Nim
C2 프로토콜TCP
첫 감지2023
대상
Kurumsal/Kuresel
목적 / 기능
- "백도어/프로세스 주입/암호화된 C2"
이 패밀리에 대해 아직 확인된 C2 서버가 없습니다.
연구 보고서 (1)
NimImplant 11ddebd9 -- Nim MinGW GCC x64 SetThreadContext BCryptGenRandom WSAID_CONNECTEX 20-section winim Process-Injection CNG | Yuksek
NimImplant 11ddebd9 Nim + MinGW-W64 GCC 11.1. SetThreadContext thread injection. BCryptGenRandom CNG. WSAID_CONNECTEX overlapped TCP. 20 PE section. winim assembly. TLS anti-debug.
보고서 읽기 →