没有合适的资源?快使用搜索试试~ 我知道了~
2020.06-Mimikatz的18种免杀姿势及防御策略1
需积分: 0 2 下载量 130 浏览量
2022-08-03
19:42:59
上传
评论
收藏 328KB PDF 举报
温馨提示
试读
20页
2020.06-Mimikatz的18种免杀姿势及防御策略1
资源详情
资源评论
资源推荐
0x00 前
0x02 免杀介绍
0x03 mimikatz免杀实践
法0-原态mimikatz.exe(VT查杀率55/71)
法1-加壳+签名+资源替换(VT查杀率9/70)
法2-Invoke-Mimikatz(VT查杀率39/58)
法3-使Out-EncryptedScript加密(VT查杀率0/60)
法4-使xencrypt加密(VT查杀率2/59)
法5-PowerShell嵌EXE件(VT查杀率15/58)
法6-C程序中执powershell(VT查杀率7/71)
法7-使加载pe_to_shellcode(VT查杀率47/70)
法8-c#加载shellcode(VT查杀率21/57)
法9-Donut执mimikatz(VT查杀率29/71)
法10-msf加载bin(VT查杀率2/59)
法11-C#加载mimikatz(VT查杀率35/73)
法12-JS加载mimikatz(VT查杀率22/59)
法13-msiexec加载mimikatz(VT查杀率25/60)
法14-名单msbuild.exe加载(VT查杀率4/59)
法15-JScript的xsl版(VT查杀率7/60)
法16-jscript的sct版(VT查杀率23/59)
法17-ReflectivePEInjection加载(VT查杀率32/57)
法18-导出lsass进程离线读密码(VT查杀率0/72)
0x04 防御mimikatz的6种法
法1-WDigest禁缓存
法2-Debug 权限
法3-LSA 保护
法4-受限制的管模式
法5-禁凭证缓存
法6-受保护的户组
0x05 结
0x06 参考资
0x00 前
Mimikatz是法国 Benjamin Delpy 编写的款轻级的调试具,论上可以抓取所有windows系
统的明密码(winxp之前的好像),因此在内渗透过程中应常,属于内渗透必备具
之,被很多称之为密码抓取神。Mimikatz其实并只有抓取令这个功能,它还能够创建票证、
票证传递、hash传递、甚伪造域管凭证令牌等诸多功能。由于mimikatz的使说明上资很
多,本主要是介绍下mimikatz的些免杀式。
随着这两hw动越来越多,企事业单位也都开始注重内安全,有预算的会上全套的终端安全、企
业版杀软或者EDR,就算没有预算的也会装个360全家桶或者主机卫之类的,这也导致很多时候你的
mimikatz可能都没法拷过去或者没有加载执,拿台服务却横向移动就尴尬。
之前写远控免杀系的章,学习到些较好玩的免杀姿势,从上找到些针对mimikatz的
免杀技巧,于是就有这篇mimikatz免杀的章。
本所到的相关具和代码都已经打
包: https://github.com/TideSec/BypassAntiVirus/tree/master/tools/
0x02 免杀介绍
在远控免杀专题(1)-基础篇中就已经体介绍些常的免杀式,针对Mimikatz的免杀多样
化,因为Mimiktaz本身是开源的,对源码或者对exe都可以进免杀处。本主要介绍如下5类免
杀式,共18种免杀法。
本虽然是针对Mimiktaz进免杀,但多的是想研究学习下较通的exe的免杀式,如中
介绍的exe通加载、powershell执exe、名单加载exe等有种法可以适于任意的exe免
杀,如果只是针对mimikatz进免杀完全没必要这么啰嗦的。
1、源码免杀。
在有源码的情况下,可以定位特征码、加花指令、多层跳转、加效指令、替换api、重写api、
API伪调等等,这部分内容较多复杂,打算另写篇进介绍,本多介绍。
2、源码免杀
在源码好修改需要对exe进免杀时,可以加资源、替换资源、加壳、加签名、PE优化、增加节
数据等等。本中的法1就是这种式,只过算是最简单的种。
3、powershell免杀
因为mimikatz有powershell版或者使powershell可以加载,所以对powershell的脚本免杀也是
种式,本中的法2-法6都是对powershell进处。
4、加载分离免杀
加载就是ShellCode和PE分离的式来达到免杀的效果,在远控免杀专题中介绍过少很
好的加载,过很多只能加载基于RAW格式或固定格式的shellcode,对exe程序就能
。所以这次针对mimikatz,专找个较通的exe加载,将exe转换成bin件即可进
加载,没有格式限制,法7到法10就是介绍的这类免杀。
5、名单免杀
名单主要是使rundll32、msbuild、mshta、cscript等多个名单程序来加载嵌
mimikatz的jscript脚本,这部分没有太多亮点,和之前写的远控免杀专题名单篇基本相似。部
分名单加载法借鉴 R1ngk3y 的章九种姿势运Mimikatz。
0x03 mimikatz免杀实践
法0-原态mimikatz.exe(VT查杀率55/71)
先测下原态的mimikatz在 virustotal.com 上的查杀率,以此来衡其他的免杀效果。
可以从 https://github.com/gentilkiwi/mimikatz/releases 下载最新的mimikatz,最新版本为
2.2.0(20200308),我这都是以64位mimiktaz为进测试。
开启360防护时会拦截
virustotal.com 上查杀率为55/71。
法1-加壳+签名+资源替换(VT查杀率9/70)
这先介绍种较常的pe免杀法,就是替换资源+加壳+签名,有能的还可以pe修改,且
mimikatz是开源的,针对源码进免杀处效果会好,这多做讨论。
需要个软件,VMProtect Ultimate 3.4.0加壳软件,下载链接:
https://pan.baidu.com/s/1VXaZgZ1YlVQW9P3B_ciChg 提取码: emnq
签名软件
https://raw.githubusercontent.com/TideSec/BypassAntiVirus/master/tools/mimikatz/s
igthief.py
资源替换软件
ResHacker: https://github.com/TideSec/BypassAntiVirus/blob/master/tools/mimikatz/
ResHacker.zip
先替换资源,使ResHacker打开mimikatz.exe,然后在图标替换为360图标,version字
随意改。
安装vmp加壳软件后,使vmp进加壳
使 sigthief.py 对上步成的exe件进签名。sigthief的详细法可以参
考 https://github.com/secretsquirrel/SigThief 。
然后看看能能运,360和绒都没问题。
VT平台上 mimikatz32_360.exe 件查杀率9/70,缺点就是vmp加壳后会变得较。
法2-Invoke-Mimikatz(VT查杀率39/58)
当exe件执被拦截时,最常想到的就是使PowerSploit中的 Invoke-Mimikatz.ps1 。它虽然是
powershell格式,但由于知名度太,前也是被查杀的惨忍睹。
可以去PowerSploit下载,也可以下载我打包的:
https://raw.githubusercontent.com/TideSec/BypassAntiVirus/master/tools/mimikat
z/Invoke-Mimikatz.ps1
剩余19页未读,继续阅读
耄先森吖
- 粉丝: 59
- 资源: 293
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功
评论0