免杀技巧 | 实现Sliver C2 规避 Defender 的 Mimikatz

admin 2025年3月24日14:10:21评论15 views字数 1277阅读4分15秒阅读模式

本文主要演示如何修改 Sliver C2 中的 Mimikatz Beacon Object File(BOF),以规避 Windows Defender。

假设我们已经获取了 Beacon,并成功绕过了杀毒软件。

免杀技巧 | 实现Sliver C2 规避 Defender 的 Mimikatz

现在让我们尝试运行默认的 Mimikatz 命令。

免杀技巧 | 实现Sliver C2 规避 Defender 的 Mimikatz

这会被 Defender 检测到,并导致我们的 Beacon 被终止。

免杀技巧 | 实现Sliver C2 规避 Defender 的 Mimikatz

所以,我打算重新编译 Mimikatz 的 Sliver 扩展,并使用 s3cur3th1ssh1t 提供的以下混淆脚本:

此处省略10000行代码,可以直接访问链接:https://gist.githubusercontent.com/S3cur3Th1sSh1t/cb040a750f5984c41c8f979040ed112a/raw/b8d0d54c7595f88a4ffdaaba9070a3b07cc9164d/ObfuscateMimi_Seccond.sh 进行查看。

这个脚本最初是用来编译一个可以规避 Defender 的 .exe 文件的,然而,如今生成的 .exe 已无法绕过 Defender。不过,它仍然足够用于创建一个经过混淆的 .dll,该 .dll 将作为 BOF 在 Sliver C2 中加载。建议你进一步修改此脚本。

目前,我们只需对其进行修改,使其从 sliverarmory 仓库下载修改后的 Mimikatz,而不是从 gentilkiwi 下载。

https://github.com/sliverarmory/mimikatz

免杀技巧 | 实现Sliver C2 规避 Defender 的 Mimikatz

现在我们可以运行该脚本,它将生成一个名为 “windows” 的文件夹,其中包含用于编译的 Visual Studio 项目。

免杀技巧 | 实现Sliver C2 规避 Defender 的 Mimikatz

现在,我将把该文件夹移动到安装了 Visual Studio 的 Windows 虚拟机上。

免杀技巧 | 实现Sliver C2 规避 Defender 的 Mimikatz

现在我在 Visual Studio 中打开该项目,在编译之前,我会确保选择 sliverkatz 选项并设置目标架构。
免杀技巧 | 实现Sliver C2 规避 Defender 的 Mimikatz
现在进行编译,生成的文件应为 powerkatz.dll。接下来,我会将该文件移动到安装了 Sliver 的 Kali 虚拟机中。
免杀技巧 | 实现Sliver C2 规避 Defender 的 Mimikatz
现在,我进入 sliver-client/extensions 目录,并复制 mimikatz 文件夹,使用一个新的名称。
免杀技巧 | 实现Sliver C2 规避 Defender 的 Mimikatz
现在,我将用我们编译的 powerkatz.dll 替换 powerkatz.x64.dll
免杀技巧 | 实现Sliver C2 规避 Defender 的 Mimikatz
现在,我只需稍微修改一下 extension.json 文件,重新命名命令名称。
免杀技巧 | 实现Sliver C2 规避 Defender 的 Mimikatz
现在,让我们启动 Sliver,并从启用了 Defender 的受害者 Windows 机器上获取一个 Beacon。

免杀技巧 | 实现Sliver C2 规避 Defender 的 Mimikatz

让我们使用 help 命令来确认我们修改过的 Mimikatz 是否已加载。
免杀技巧 | 实现Sliver C2 规避 Defender 的 Mimikatz
现在让我们运行命令并进行测试!

免杀技巧 | 实现Sliver C2 规避 Defender 的 Mimikatz

我们修改过的 Mimikatz 工作正常,Defender 没有检测到它,且我们的 Beacon 仍在运行!

#漏洞挖掘 #SRC #CTF #web安全 #渗透测试 #黑客 #红队 #网络安全

声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。

原文始发于微信公众号(白帽子左一):免杀技巧 | 实现Sliver C2 规避 Defender 的 Mimikatz

 

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月24日14:10:21
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   免杀技巧 | 实现Sliver C2 规避 Defender 的 Mimikatzhttps://cn-sec.com/archives/3878298.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息