mimikatz源码编译免杀Windows Defender

admin 2022年3月11日16:20:07评论69 views字数 3519阅读11分43秒阅读模式
                                  
✎ 阅读须知


乌鸦安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。

乌鸦安全拥有对此文章的修改、删除和解释权限,如转载或传播此文章,需保证文章的完整性,未经允许,禁止转载!

本文所提供的工具仅用于学习,禁止用于其他,请在24小时内删除工具文件!!!

失败mimikatz源码免杀和成功的免杀Windows Defender

本文周一的时候,工具就已经上传GitHub了,所以工具应该是已经失效了!!!仅供参考!

本文mimikatz源码编译未能免杀Windows Defender,后面使用的是其他的方式,思路和源代码暂不公开,希望师傅们能够理解!

2. 免杀结论

2.1 二次编译失败

1.二次编译免杀火绒失败,秒杀!2.二次编译后,联网360全家桶环境下,有效期大概2分钟左右,后360联网上传样本后失效。3.Windows Defender免杀更不用想,秒杀!

2.2 其他方法成功

免杀火绒成功 免杀Windows Defender(关闭自动上传可疑样本)成功 360不进行测试,联网无意义!

相关免杀文件可在我的GitHub进行下载:

https://github.com/crow821/crowsec/tree/master/Bypass_mimikatz

欢迎多多star!

如果师傅在GitHub下载不方便的话,可以直接在公众号后台回复:猕猴桃 下载!

mimikatz源码编译免杀Windows Defender

3. 说明

机器1:Windows10 编辑环境:vs2012 杀软:360安全卫士联网最新版(带安全大脑,会自动上传样本)

机器2:Windows7 杀软:火绒联网最新版

机器3:Windows10 杀软:360杀毒联网最新版(会自动上传样本)

机器4:Windows10 杀软:Windows Defender(关闭自动上传样本)

本文原本想学习下二次编译mimikatz免杀360火绒,但是经过多次折腾之后发现,火绒依旧对其秒杀,360杀毒360安全卫士联网(带安全大脑)只能算免杀1分钟Windows Defender断网都能秒杀!其实过火绒360有很多方法,不过在这只是为了学习无脑修改)编译源码。本文按照一个去特征的思路,慢慢的做,一点点的分析坑自己)。

其实在本文中,mimikatz源码去特征免杀难度排序的话,应该是:

Windows Defender(天下无敌) > 火绒(联网不联网都一样) > 360安全卫士(联网版,会自动上传样本) = 360杀毒(联网版,会自动上传样本)> 360安全卫士(不上传样本) >= 360杀毒 (不上传样本)

以上仅仅针对本文接下来的操作而已,其实实战中,火绒在一定程度上更容易过。

4. mimikatz源码编译

从https://github.com/gentilkiwi/mimikatz直接将源代码下载下来:

mimikatz源码编译免杀Windows Defender

将文件解压之后,使用vs2012打开:

mimikatz源码编译免杀Windows Defender

打开之后,可以看到当前存在报错信息:

mimikatz源码编译免杀Windows Defender

在这里右键选择重新生成解决方案:

mimikatz源码编译免杀Windows Defender

点击之后配置环境:

mimikatz源码编译免杀Windows Defender

在当前环境中,选择平台工具集->选择visual Studio 2012(v110),然后应用。接着在c/c++的常规中,将错误属性设置为

mimikatz源码编译免杀Windows Defender

在解决方案中,点击属性:

mimikatz源码编译免杀Windows Defender

在配置属性中选择x64位:

mimikatz源码编译免杀Windows Defender

直接应用,在解决方案处,右键-->重新生成解决方案

mimikatz源码编译免杀Windows Defender

在这里需要一些时间会编译成功(在这里很多人都是生成成功1个,失败0个,不过都是正常)

mimikatz源码编译免杀Windows Defender

直接去文件夹下看文件:

mimikatz源码编译免杀Windows Defender

在这里关闭所有防护,看下工具好不好用:最常用的命令:

privilege::debug   提取权限
sekurlsa::logonpasswords   抓取密码
mimikatz源码编译免杀Windows Defender

选择以管理员身份运行:

mimikatz源码编译免杀Windows Defender

能过获得hash信息,证明编译有效。

5. mimikatz正常编译免杀效果

当前编译之后的mimikatz火绒360windows Defender环境下测试:

5.1 360

360右键联网查杀的时候,当即没有查出来,但是直接将样本进行上传,而且当右键运行mimikatz的时候,直接弹出警告信息:

mimikatz源码编译免杀Windows Defender

再次双击运行的时候,直接报毒!

mimikatz源码编译免杀Windows Defender

5.2 火绒

复制进去之后,秒杀!

mimikatz源码编译免杀Windows Defender

5.3 360杀毒

mimikatz源码编译免杀Windows Defender
mimikatz源码编译免杀Windows Defender

5.4 windows Defender

在这里压根不用测试windows Defender,会被杀的更快:

mimikatz源码编译免杀Windows Defender

因为本文使用的方法无法bypass windows Defender360安全卫士联网版(自动上传样本),所以本文下面的编译部分不会对windows Defender再进行测试,但是会选择性测试360安全卫士联网版(自动上传样本)

6. mimikatz源码去特征

6.1 替换关键字mimikatz

首先是去除mimikatz关键字,按照如图所示在文件中替换关键字:

mimikatz源码编译免杀Windows Defender

在这里选择将mimikatz全部替换为crowsec(大小写要分开),并且查找范围为整个解决方案

mimikatz源码编译免杀Windows Defender

大写

mimikatz源码编译免杀Windows Defender

替换关键字之后,在这里会报错,需要继续进行替换:

mimikatz源码编译免杀Windows Defender

将整个项目文件的mimikatz全部进行替换为crowsec关键字:

mimikatz源码编译免杀Windows Defender

此时已经替换完成:

mimikatz源码编译免杀Windows Defender

先不要继续替换了,编译下试试看,能否编译成功:

mimikatz源码编译免杀Windows Defender
mimikatz源码编译免杀Windows Defender

成功以后,测试下功能:

privilege::debug   提取权限
sekurlsa::logonpasswords   抓取密码
mimikatz源码编译免杀Windows Defender

使用正常,测试下免杀能力:

6.1.1 火绒

mimikatz源码编译免杀Windows Defender

直接被秒

6.1.2 360杀毒(会自动上传样本)

mimikatz源码编译免杀Windows Defender

6.2 mimilove.rc版本信息

该文件主要是版本信息:

mimikatz源码编译免杀Windows Defender

删除敏感信息:

mimikatz源码编译免杀Windows Defender

删除之后:

mimikatz源码编译免杀Windows Defender

在空白处右键新增版本信息:

mimikatz源码编译免杀Windows Defender

新增之后的信息:

mimikatz源码编译免杀Windows Defender

直接保存,然后使用解决方案资源管理器,切换到主视图:

mimikatz源码编译免杀Windows Defender

在这里右键选择:重新生成!!!

mimikatz源码编译免杀Windows Defender

等待编译后看看文件夹:

mimikatz源码编译免杀Windows Defender

同样的方法,试试能不能用,火绒能不能免杀:

mimikatz源码编译免杀Windows Defender

6.2.1 火绒

mimikatz源码编译免杀Windows Defender

6.2.2 360杀毒(会自动上传样本)

mimikatz源码编译免杀Windows Defender
mimikatz源码编译免杀Windows Defender

静态扫描无毒,打开提示病毒!

6.3 替换ico文件

如下图右键打开文件资源管理器:

mimikatz源码编译免杀Windows Defender

很多时候,杀软对图标(hash)比较敏感,所以在这里进行替换ico,自己制作ico的网站:http://www.bitbug.net

做的时候,记得是32*32大小。

mimikatz源码编译免杀Windows Defender

将新的图标进行替换:

mimikatz源码编译免杀Windows Defender

直接编译:

mimikatz源码编译免杀Windows Defender

得到文件(在这里因为缓存问题,小图标没有及时更新)

mimikatz源码编译免杀Windows Defender

老问题,看看能不能用,看看能不能免杀

mimikatz源码编译免杀Windows Defender

6.3.1 火绒

mimikatz源码编译免杀Windows Defender

6.3.2 360杀毒(会自动上传样本)

mimikatz源码编译免杀Windows Defender

扫描到肯定是无毒的,打开可以用,在这看到扫描的时间是22:28:42,趁着这个时间赶紧执行下,执行成功。

mimikatz源码编译免杀Windows Defender

在这里发现了病毒,查阅日志发现,大概2分钟之后开始报毒!

mimikatz源码编译免杀Windows Defender
mimikatz源码编译免杀Windows Defender

6.4 mimilove.c

mimilove中,找到mimilove.c文件,该文件主要是作者的信息:

mimikatz源码编译免杀Windows Defender

6.5 关键字creativecommons.org替换

creativecommons.org替换为baidu.com

mimikatz源码编译免杀Windows Defender

再次编译下看看(编译时间较长)

mimikatz源码编译免杀Windows Defender

编译成功,继续测试。

6.5.1 火绒

mimikatz源码编译免杀Windows Defender

6.5.2 360杀毒(联网版)

mimikatz源码编译免杀Windows Defender

等一段时间再看下:

mimikatz源码编译免杀Windows Defender

大概1分钟之后,报毒!

6.6关键字gentilkiwi.com替换

继续去除信息:将gentilkiwi.com替换为google.com

mimikatz源码编译免杀Windows Defender

再次编译下:

mimikatz源码编译免杀Windows Defender

还是被杀:

6.6.1 火绒

mimikatz源码编译免杀Windows Defender

6.6.2 360杀毒(联网版)

mimikatz源码编译免杀Windows Defender

执行命令之后,大概2分钟左右,被杀!

mimikatz源码编译免杀Windows Defender

6.7 关键字benjamin替换

benjamin关键字使用同样的方法替换为crowsec

mimikatz源码编译免杀Windows Defender

编译下再试试:

mimikatz源码编译免杀Windows Defender
mimikatz源码编译免杀Windows Defender

在这里不区分大小写的情况下再试试:

mimikatz源码编译免杀Windows Defender
mimikatz源码编译免杀Windows Defender
mimikatz源码编译免杀Windows Defender

6.7 关键字gentilkiwi替换

gentilkiwi不区分大小写的替换为crowkiwi

mimikatz源码编译免杀Windows Defender

编译成功:

mimikatz源码编译免杀Windows Defender
mimikatz源码编译免杀Windows Defender

6.9 删除mimilove

mimikatz源码编译免杀Windows Defender
mimikatz源码编译免杀Windows Defender
mimikatz源码编译免杀Windows Defender
mimikatz源码编译免杀Windows Defender

还是被杀。。。。但是不清楚什么时候开始,360已经过了。。。

mimikatz源码编译免杀Windows Defender
mimikatz源码编译免杀Windows Defender

同样,一段时间后:

mimikatz源码编译免杀Windows Defender

7. 总结

在这里可以看到:无论是如何去特征后编译,都无法正常免杀火绒。(当然,一定要细究的话,也是可以的,但是难度很高,费事!) 360一般在本地不会主动查杀,其查杀靠的是其联网上传样本之后,因为云端查杀需要时间,所以在这之间有一段时间,可以运行木马执行命令。 Windows Defender更不用考虑,所以依靠源代码二次编译免杀的难度很高,可以采用其他的方式进行免杀(暂不提供详情),在这里放bypass成功之后的图,在这里没有放360,毕竟上传样本伤不起!

其实到这里之后,再进行免杀研究的话,难度就会低一些了,师傅们见谅,这种方法只提供工具,暂时不能提供方法哈!

7.1 bypass 火绒

mimikatz源码编译免杀Windows Defender
mimikatz源码编译免杀Windows Defender

7.2 Windows Defender (不自动上传样本)

mimikatz源码编译免杀Windows Defender
mimikatz源码编译免杀Windows Defender

免杀脚本在Github上可以找到:

https://github.com/crow821/crowsec

mimikatz源码编译免杀Windows Defender

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年3月11日16:20:07
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   mimikatz源码编译免杀Windows Defenderhttp://cn-sec.com/archives/825710.html

发表评论

匿名网友 填写信息