mimikatz简单静态免杀测试

admin 2024年4月18日02:23:14评论9 views字数 5392阅读17分58秒阅读模式
✎ 阅读须知

乌鸦安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。

乌鸦安全拥有对此文章的修改、删除和解释权限,如转载或传播此文章,需保证文章的完整性,未经允许,禁止转载!

本文所提供的工具仅用于学习,禁止用于其他,请在24小时内删除工具文件!!!

更新时间:2023年12月29日11:06:43

1. 说明

本文仅仅是对mimikatz的静态查杀测试,操作参考了很多文章,并且只能过火绒(截止2023年12月29日11:06:43 ),本文仅做一个简单的记录,并无他意!

2. 环境准备

  • Windows11
  • vs2022

在这里我是安装的vs2022:具体安装的细节在这里就不说了,大家可以自行百度下,方法很多的。

mimikatz简单静态免杀测试
image.png
mimikatz简单静态免杀测试
image.png

网上找一个激活码:

mimikatz简单静态免杀测试

然后配置好vs之后,退出火绒:

mimikatz简单静态免杀测试

vs中配置使用c++的桌面开发以及Windows的平台开发:

mimikatz简单静态免杀测试
image.png

在单个组件中选择c++(v143)通用Windows平台工具:

mimikatz简单静态免杀测试

c++桌面开发里面需要配置适用于最新的v143生成工具的c++ MFC

然后开始安装:

mimikatz简单静态免杀测试
image.png

3. 原版源码编译

github上下载原本的文件:https://github.com/gentilkiwi/mimikatz

mimikatz简单静态免杀测试
image.png

将文件夹的名字修改下,不要相同,不然到时候会被标记:

mimikatz简单静态免杀测试
image.png

mimikatz简单静态免杀测试mimikatz简单静态免杀测试

点击mimikatz,右键属性,进行配置:mimikatz简单静态免杀测试接着在c/c++的常规中,将错误属性设置为

mimikatz简单静态免杀测试
image.png

平台工具集如图:

mimikatz简单静态免杀测试
image.png

确认应用之后,在下图点击解决方案,然后右键属性:

mimikatz简单静态免杀测试
image.png

配置为x64位:

mimikatz简单静态免杀测试
image.png

点击重新生成解决方案:

mimikatz简单静态免杀测试
image.png

此时已生成:

mimikatz简单静态免杀测试
image.png

找到mimikatz,右键以管理员身份运行看下:

mimikatz简单静态免杀测试
image.png

目前重新编译的程序可以正常使用了。

mimikatz简单静态免杀测试
image.png

4. 源码特征去除

4.1 替换关键字mimikatz

首先是去除mimikatz关键字,按照如图所示在文件中替换关键字:

mimikatz简单静态免杀测试
image.png

在这里选择将mimikatz全部替换为crowsec(大小写要分开),并且查找范围为整个解决方案:

mimikatz简单静态免杀测试mimikatz简单静态免杀测试

大写:

mimikatz简单静态免杀测试
image.png

替换关键字之后,在这里会报错,需要继续进行替换:

mimikatz简单静态免杀测试

将整个项目文件的mimikatz全部进行替换为crowsec关键字:

mimikatz简单静态免杀测试
image.png
mimikatz简单静态免杀测试
image.png

此时已经替换完成:

mimikatz简单静态免杀测试
image.png

在这里可以自行替换掉crowsec.ico文件:

mimikatz简单静态免杀测试
image.png

先不要继续替换了,编译下试试看,能否编译成功:

mimikatz简单静态免杀测试mimikatz简单静态免杀测试mimikatz简单静态免杀测试

使用正常,测试下免杀,在这里只测试火绒,火绒能过的话,再说wdf360不需要测试,暂时无意义(不考虑云查杀)。

mimikatz简单静态免杀测试
image.png

4.2 mimilove.rc-版本信息修改

该文件主要是版本信息:

mimikatz简单静态免杀测试mimikatz简单静态免杀测试

删除敏感信息:

mimikatz简单静态免杀测试
image.png

删除之后:

mimikatz简单静态免杀测试
image.png

将其保存的时候,会有警告信息,先点否:

mimikatz简单静态免杀测试
image.png

在空白处新增版本信息:

mimikatz简单静态免杀测试
image.png

新增之后,保存,然后点是:

mimikatz简单静态免杀测试
image.png

使用解决方案资源管理器,切换到主视图,右键选择:重新生成!

mimikatz简单静态免杀测试mimikatz简单静态免杀测试

mimikatz简单静态免杀测试
image.png

同样的方法,试试能不能用,火绒能不能免杀:

mimikatz简单静态免杀测试
image.png
mimikatz简单静态免杀测试
image.png

4. 3 mimilove.c-作者信息修改

mimilove中,找到mimilove.c文件,该文件主要是作者的信息:

mimikatz简单静态免杀测试
image.png
mimikatz简单静态免杀测试
image.png

在这里先将其中的敏感字替换掉再说。

mimikatz简单静态免杀测试
image.png

对上面的两个文件,均将以前的输入注释掉,增加自定义的输出,然后编译运行看下:

mimikatz简单静态免杀测试
image.png

此时正常,但是还存在大量的关键字,先删点。按照提示,先进行删除测试。

4.4 关键字gentilkiwi.com替换

mimikatz简单静态免杀测试
image.png

替换之后,为了保险起见,编译一下代码,看下会不会报错:

mimikatz简单静态免杀测试
image.png

4.5 关键字benjamin修改

mimikatz简单静态免杀测试
image.png

然后编译下:

mimikatz简单静态免杀测试
image.png

4.6 关键字Benjamin替换

替换为Francermimikatz简单静态免杀测试

然后再次生成:

mimikatz简单静态免杀测试
image.png

4.7 关键字oe.eo替换

虽然这是注释的,但是我还是想替换掉:mimikatz简单静态免杀测试

4.8 ico处理

虽然我用的是自己的ico,但是这个ico可能被第三方标记过,所以稍微处理下,只要hash不同就行了,算了,直接notepad++打开,破坏下就行了:

mimikatz简单静态免杀测试再加载进去编译一下:

mimikatz简单静态免杀测试
image.png

能运行,但是还是被杀,意料之中:

mimikatz简单静态免杀测试
image.png

现在这种替换简单关键字是无法免杀火绒的,2024年01月04日18:29:36

4.9 关键字creativecommons.org替换

creativecommons.org替换:

mimikatz简单静态免杀测试
image.png

再次编译下看看:

mimikatz简单静态免杀测试
image.png
mimikatz简单静态免杀测试
image.png

4.10 关键字mimilove替换

把这个关键字修改为american

mimikatz简单静态免杀测试
image.png
mimikatz简单静态免杀测试
image.png
mimikatz简单静态免杀测试
image.png

正常使用,但是依旧被杀:

mimikatz简单静态免杀测试
image.png
mimikatz简单静态免杀测试
image.png

直接被杀。。。

5. 尝试加壳

在这里尝试加壳,看下能不能过火绒:

5.1 加vmp壳

mimikatz简单静态免杀测试
image.png
mimikatz简单静态免杀测试
image.png

加壳之后的还是被杀。。。在这之前,火绒是静态查杀的,那就证明他查杀了什么关键字,我们用strings.exe获取看下,到底有哪些关键字是被杀的:

mimikatz简单静态免杀测试
image.png
mimikatz简单静态免杀测试
image.png

执行之后,有1w多行,根据网上的信息来看,其实火绒抓取的关键字是lsass.exe:https://xz.aliyun.com/t/11378#toc-12  2024年01月04日18:50:45

mimikatz简单静态免杀测试
image.png

在这里搜索看下:

mimikatz简单静态免杀测试
image.png

感觉这种不行。

5.2  themida壳

mimikatz简单静态免杀测试。。。

6. 特征定位

6. 1 定位特征码

既然这样的话,就按照网上的方法来定位特征码吧,把这个流程走一遍:本节主要参考:

https://www.t00ls.com/viewthread.php?tid=67457

在这使用MYCCL3.0来定位特征码。

首先添加一个信任区,不然都会被火绒杀掉:

mimikatz简单静态免杀测试
image.png

在白名单之外的其他位置,建一个fuzz结果的文件夹,在这文件夹里面主要是给 火绒查杀的:

mimikatz简单静态免杀测试
image.png

然后打开工具,准备fuzz,把分块数量设置为2030之间,在这里设置为25,然后点击生成:

mimikatz简单静态免杀测试
image.png
mimikatz简单静态免杀测试
image.png

对生成的文件进行杀毒:

mimikatz简单静态免杀测试
image.png

然后立即处理:

mimikatz简单静态免杀测试
image.png
mimikatz简单静态免杀测试
image.png
mimikatz简单静态免杀测试
image.png
mimikatz简单静态免杀测试
image.png

重复这些过程,直到火绒不再报毒为止:

mimikatz简单静态免杀测试
image.png

然后点击特征区间:

mimikatz简单静态免杀测试
image.png
mimikatz简单静态免杀测试
image.png
mimikatz简单静态免杀测试
image.png

继续走这个流程,直到没有风险项:

mimikatz简单静态免杀测试
image.png
mimikatz简单静态免杀测试
image.png

然后二次处理之后,再进行扫描:

mimikatz简单静态免杀测试
image.png

此时再回到原来的特征码区间设定,找到第一个,右键,复合定位:

mimikatz简单静态免杀测试
image.png

mimikatz简单静态免杀测试mimikatz简单静态免杀测试

mimikatz简单静态免杀测试
image.png

二次处理之后,无风险:

mimikatz简单静态免杀测试
image.png

继续此过程:mimikatz简单静态免杀测试

经过多次循环处理之后,得到了这个结果:

mimikatz简单静态免杀测试
image.png

现在来处理下:使用c32asm处理,使用十六进制模式:

mimikatz简单静态免杀测试
image.png

使用快捷键来进行跳转(Ctrl+G) 首先跳转到我们第一个特征,把地址粘贴上去,点击确定

0012BE16_00000007
0013B36B_00000006
mimikatz简单静态免杀测试
image.png
mimikatz简单静态免杀测试
image.png

此时,可以看到这里是第一个特征,明显看到这里有lsass.exe,当然在这还有fopenfwprintffclose,在这里先不去找源码,先把这个78替换为00看下:

mimikatz简单静态免杀测试
image.png
mimikatz简单静态免杀测试
image.png
mimikatz简单静态免杀测试
image.png

直接保存,此时修改之后的还是报毒,那看下第二处:

mimikatz简单静态免杀测试
image.png
mimikatz简单静态免杀测试
image.png

在这里看到,存在logonui picture password的关键字,修改password的关键字,再试试:

mimikatz简单静态免杀测试
image.png
mimikatz简单静态免杀测试
image.png

此时已经不报毒了,但是文件不能用了:

mimikatz简单静态免杀测试
image.png

应该是刚刚的lsass坏掉了,那就只能从源码里面去修复了。

7. 源码修改

7.1 lsass.exe修改

这个位置除了lsass.exe,还有fopenfwprintffclose,找找看:

mimikatz简单静态免杀测试
image.png

再找找这个固定的位置:

mimikatz简单静态免杀测试
image.png

那就对其进行修改吧,在这里使用源码免杀辅助工具进行处理:

mimikatz简单静态免杀测试
image.png

然后替换原来的句子:

mimikatz简单静态免杀测试
image.png

在这里设置为wchar_t的类型,具体参考:

https://www.t00ls.com/viewthread.php?tid=67457

此时,直接重新生成解决方案看下效果:

mimikatz简单静态免杀测试
image.png

看下能不能用,主要是mimikatz的第二句:

mimikatz简单静态免杀测试
image.png

可以使用,目前是正常的,看下能不能免杀:

mimikatz简单静态免杀测试现在还有一个特征点,来处理下。

7.2 password关键字

logonui picture password的关键字,修改password的关键字,再试试:

mimikatz简单静态免杀测试
image.png

太多了,然后筛选:

mimikatz简单静态免杀测试
image.png

最后经过综合定位找到了这句话:

mimikatz简单静态免杀测试
image.png
dwError = RegOpenKeyEx(HKEY_LOCAL_MACHINE, L"SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\PicturePassword"0, KEY_ENUMERATE_SUB_KEYS, &hPicturePassword);

现在要对这句话进行处理,感觉是Password这个关键词:

mimikatz简单静态免杀测试
image.png

c语言里面,不需要像python那样使用+进行拼接,所以在这里测试下这种可以不可以,直接保存编译之后发现可以运行使用,但是依旧不免杀:

mimikatz简单静态免杀测试
image.png

那就把那个句子再修改下:

mimikatz简单静态免杀测试mimikatz简单静态免杀测试

这种应该是不起作用的,应该是编译器在编译的时候,直接将其合在一起了,那就使用和上面相似的方法规避下。

编译之后可以用,但是还是被杀,那就再看下特征码问题:

mimikatz简单静态免杀测试
image.png
mimikatz简单静态免杀测试
image.png

最后定位到了新的位置,转过去看下:

0012C44F_00000002
mimikatz简单静态免杀测试
image.png

发现这个还是lsass.exe的问题。。。先修改为00看下有无问题:

mimikatz简单静态免杀测试mimikatz简单静态免杀测试

mimikatz简单静态免杀测试
image.png

虽然不可以用,那就是lsass的问题,那就把这个全部修改掉吧。

7.3 修改所有的lsass.exe

第一处:

mimikatz简单静态免杀测试
image.png

然后编译下看看:

mimikatz简单静态免杀测试
image.png

可以使用,试下免杀:

mimikatz简单静态免杀测试
image.png

还是不要有幻想了,全部修改掉:

mimikatz简单静态免杀测试
image.png
mimikatz简单静态免杀测试
image.png
mimikatz简单静态免杀测试
image.png

删掉

mimikatz简单静态免杀测试
image.png

编译运行正常。最后一个文件在mimilove.c里面,在这里其实有一个前面替换之后的错误,修改如下:

mimikatz简单静态免杀测试
image.png

再修改一下:

mimikatz简单静态免杀测试
image.png

再检查下还有无:

mimikatz简单静态免杀测试
image.png

基本上全部注释了,yar文件不用管,用不上,编译一下看看:

mimikatz简单静态免杀测试
image.png

此时测试下能不能免杀:

mimikatz简单静态免杀测试
image.png

使用正常

mimikatz简单静态免杀测试
image.png

艹,怎么还有,再fuzz下看看问题在哪:

mimikatz简单静态免杀测试
image.png

找下这个位置:0012C450_00000003

mimikatz简单静态免杀测试
image.png

咋又出现了这个值,看下文件里面哪里没有处理干净:

mimikatz简单静态免杀测试
image.png

不好意思,修改漏了。。。

mimikatz简单静态免杀测试
image.png
mimikatz简单静态免杀测试
image.png

看下能不能用:

mimikatz简单静态免杀测试
image.png

终于可以过火绒了。。。

8. 火绒免杀总结

  • 火绒免杀除了修改特征信息之外,还需要修改所有的lasss.exe,以及password的关键字,目前查到的信息是这样的。

  • 目前该工具可以在win11win10win7上运行,但是win2019上运行会报错,后期会排查:

mimikatz简单静态免杀测试
image.png
  • 工具过不了wdf
mimikatz简单静态免杀测试
image.png

9. 参考资料

https://github.com/hasherezade/pe_to_shellcode
https://mp.weixin.qq.com/s/BAckIgVzD0-mDN6NN03IjA
https://mp.weixin.qq.com/s/dP2uI85WzRkKAejYI4WLgw
https://mp.weixin.qq.com/s/8THVeIAc_rmUUrhhizZf6w
https://mp.weixin.qq.com/s/s1Cq3pmwKugksaHNwhYlfQ
https://www.t00ls.com/viewthread.php?tid=64179&highlight=mimikatz
https://www.yuque.com/u8021480/crow/ykp6npl5e9mgsd26#qL78r
https://mp.weixin.qq.com/s/yzv6as2U_F84PPzLra_bFg
https://github.com/snnxyss/In-Swor

tips:加我wx,拉你入群,一起学习

mimikatz简单静态免杀测试

mimikatz简单静态免杀测试

mimikatz简单静态免杀测试
mimikatz简单静态免杀测试

扫取二维码获取

更多精彩

乌鸦安全

mimikatz简单静态免杀测试

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月18日02:23:14
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   mimikatz简单静态免杀测试https://cn-sec.com/archives/2666840.html

发表评论

匿名网友 填写信息