2020.06-Mimikatz的18种免杀姿势及防御策略1
需积分: 0 130 浏览量
2022-08-03
19:42:59
上传
评论
收藏 328KB PDF 举报
0x00 前
0x02 免杀介绍
0x03 mimikatz免杀实践
法0-原态mimikatz.exe(VT查杀率55/71)
法1-加壳+签名+资源替换(VT查杀率9/70)
法2-Invoke-Mimikatz(VT查杀率39/58)
法3-使Out-EncryptedScript加密(VT查杀率0/60)
法4-使xencrypt加密(VT查杀率2/59)
法5-PowerShell嵌EXE件(VT查杀率15/58)
法6-C程序中执powershell(VT查杀率7/71)
法7-使加载pe_to_shellcode(VT查杀率47/70)
法8-c#加载shellcode(VT查杀率21/57)
法9-Donut执mimikatz(VT查杀率29/71)
法10-msf加载bin(VT查杀率2/59)
法11-C#加载mimikatz(VT查杀率35/73)
法12-JS加载mimikatz(VT查杀率22/59)
法13-msiexec加载mimikatz(VT查杀率25/60)
法14-名单msbuild.exe加载(VT查杀率4/59)
法15-JScript的xsl版(VT查杀率7/60)
法16-jscript的sct版(VT查杀率23/59)
法17-ReflectivePEInjection加载(VT查杀率32/57)
法18-导出lsass进程离线读密码(VT查杀率0/72)
0x04 防御mimikatz的6种法
法1-WDigest禁缓存
法2-Debug 权限
法3-LSA 保护
法4-受限制的管模式
法5-禁凭证缓存
法6-受保护的户组
0x05 结
0x06 参考资
0x00 前
Mimikatz是法国 Benjamin Delpy 编写的款轻级的调试具,论上可以抓取所有windows系
统的明密码(winxp之前的好像),因此在内渗透过程中应常,属于内渗透必备具
之,被很多称之为密码抓取神。Mimikatz其实并只有抓取令这个功能,它还能够创建票证、
票证传递、hash传递、甚伪造域管凭证令牌等诸多功能。由于mimikatz的使说明上资很
多,本主要是介绍下mimikatz的些免杀式。
随着这两hw动越来越多,企事业单位也都开始注重内安全,有预算的会上全套的终端安全、企
业版杀软或者EDR,就算没有预算的也会装个360全家桶或者主机卫之类的,这也导致很多时候你的
mimikatz可能都没法拷过去或者没有加载执,拿台服务却横向移动就尴尬。
剩余19页未读,继续阅读
评论0