为闪避 Defender 的 Sliver C2 制作 Mimikatz BOF

admin 2025年2月18日19:39:16评论12 views字数 1035阅读3分27秒阅读模式
大家好,今天我想展示如何修改 Sliver C2 中的 Mimikatz 信标对象文件以规避 Windows Defender。
假设我们已经得到了信标,并且我们已经成功地躲避了防病毒软件。

为闪避 Defender 的 Sliver C2 制作 Mimikatz BOF为闪避 Defender 的 Sliver C2 制作 Mimikatz BOF

现在让我们尝试运行默认的 mimikatz 命令。

为闪避 Defender 的 Sliver C2 制作 Mimikatz BOF为闪避 Defender 的 Sliver C2 制作 Mimikatz BOF

这最终被 Defender 检测到并杀死了我们的信标。

为闪避 Defender 的 Sliver C2 制作 Mimikatz BOF为闪避 Defender 的 Sliver C2 制作 Mimikatz BOF

因此,我要做的是重新编译 Mimikatz Sliver 扩展。我将使用 s3cur3th1ssh1t 提供的以下混淆脚本。

这是一个最初用于编译可以逃避 Defender 的 .exe 的脚本,但是生成的 .exe 现在已经无法逃避 Defender,但它足以创建一个混淆的 .dll,该将在 Sliver C2 中作为 BOF 加载。我们鼓励您进一步修改此脚本。

现在我们只是要修改它,以便它从 sliverarmory 存储库下载修改后的 mimikatz,而不是 gentilkiwi。

GitHub - sliverarmory/mimikatz:一个玩 Windows 安全性的小工具

一个玩 Windows 安全性的小工具。通过在 sliverarmory/mimikatz 上创建帐户来为 sliverarmory/mimikatz 开发做出贡献...

github.com

为闪避 Defender 的 Sliver C2 制作 Mimikatz BOF为闪避 Defender 的 Sliver C2 制作 Mimikatz BOF

现在我们可以运行脚本,我们将获得一个名为 “windows” 的文件夹,其中包含要编译的 Visual Studio 项目。

为闪避 Defender 的 Sliver C2 制作 Mimikatz BOF为闪避 Defender 的 Sliver C2 制作 Mimikatz BOF

现在,我将把文件夹移动到我的 Windows VM,其中有 Visual Studio。

为闪避 Defender 的 Sliver C2 制作 Mimikatz BOF为闪避 Defender 的 Sliver C2 制作 Mimikatz BOF

现在,我在 Visual Studio 中打开项目,在编译之前,我将确保选择 sliverkatz 选项和我的目标体系结构。

为闪避 Defender 的 Sliver C2 制作 Mimikatz BOF为闪避 Defender 的 Sliver C2 制作 Mimikatz BOF

现在编译,我们应该得到一个名为 powerkatz.dll 的文件,我要把这个文件移动到我的 kali VM,那里有 Sliver。

为闪避 Defender 的 Sliver C2 制作 Mimikatz BOF为闪避 Defender 的 Sliver C2 制作 Mimikatz BOF

现在,我将转到我的 sliver-client/extensions 文件夹,并使用新名称复制 mimikatz 文件夹。

为闪避 Defender 的 Sliver C2 制作 Mimikatz BOF为闪避 Defender 的 Sliver C2 制作 Mimikatz BOF

现在,我将powerkatz.x64.dll替换为我们编译的powerkatz.dll。

为闪避 Defender 的 Sliver C2 制作 Mimikatz BOF为闪避 Defender 的 Sliver C2 制作 Mimikatz BOF

现在,我只需稍微修改 extension.json 文件,以重命名命令名称。

为闪避 Defender 的 Sliver C2 制作 Mimikatz BOF为闪避 Defender 的 Sliver C2 制作 Mimikatz BOF

现在,让我们启动 Sliver 并从启用了 Defender 的受害者 Windows 计算机获取信标。

为闪避 Defender 的 Sliver C2 制作 Mimikatz BOF为闪避 Defender 的 Sliver C2 制作 Mimikatz BOF

让我们使用 help 命令来确保我们修改后的 mimikatz 已加载。

为闪避 Defender 的 Sliver C2 制作 Mimikatz BOF为闪避 Defender 的 Sliver C2 制作 Mimikatz BOF

现在让我们运行命令并测试它!

为闪避 Defender 的 Sliver C2 制作 Mimikatz BOF为闪避 Defender 的 Sliver C2 制作 Mimikatz BOF

我们修改后的 mimikatz 可以工作,Defender 没有检测到它,我们的信标仍在运行!

为闪避 Defender 的 Sliver C2 制作 Mimikatz BOF为闪避 Defender 的 Sliver C2 制作 Mimikatz BOF

为闪避 Defender 的 Sliver C2 制作 Mimikatz BOF

原文始发于微信公众号(安全狗的自我修养):为闪避 Defender 的 Sliver C2 制作 Mimikatz BOF

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月18日19:39:16
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   为闪避 Defender 的 Sliver C2 制作 Mimikatz BOFhttps://cn-sec.com/archives/3754532.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息