windows defender免杀十种方法1:偷梁换柱
2023-5-15 08:7:38 Author: 奶牛安全(查看原文) 阅读量:48 收藏


环境

  • 带有 Ubuntu Linux AMI 的 AWS EC2 作为攻击者 C2 服务器。
  • 带有 Windows Server 2019 AMI 的 AWS EC2 作为受害者机器。
  • 安装 Visual Studio 2022 社区的本地 Windows 10 计算机用于恶意软件开发和编译
  • 本地 Kali Linux 攻击机。

过程

这种方法是非常常见使用的,因为它很方便快捷。

AMSI,或 AntiMalware Scan Interface,是一种与供应商无关的 Windows 安全控件,它扫描 PowerShellwscriptcscriptOffice 宏等,并将检测数据发送给安全提供商(在案例中为 Defender)以确定它是否是恶意的。

ETW,或 Windows 事件跟踪,是另一种安全机制,用于记录在用户模式和内核驱动程序上发生的事件。供应商然后可以分析来自流程的此信息,以确定它是否具有恶意意图。

遗憾的是,Windows Defender 很少使用来自 PowerShell 会话的检测数据。具体来说,为当前进程打补丁 AMSI 将允许执行指定的任何无落地文件的恶意软件,包括工具(MimikatzRubeus 等)和反向 shell

对于这个POC,将使用 evil-winrm Bypass-4MSI 内置函数,将在后面看到, 在 PowerShell 脚本或可执行文件中制作自己的 AMSI/ETW 补丁程序非常容易。

因此,从 LSASS 进程使用 Mimikatz 转储内存中登录的杀伤链使用此方法的工作方式如下:

为了更好地理解,可以通过以下方式在更高层次上解释这组命令:

  • 尝试编写著名的“Invoke-Mimikatz”触发器作为测试 Defender 是否处于活动状态的方法。
  • 执行 evil-winrm Bypass-4MSI 函数以在当前 PowerShell 会话中修补 AMSI
  • 再次调用 杀毒软件 触发器以查看 AMSI 检测是否有效(如所见,它不再有效)。
  • 使用 Invoke-Expression 在内存中加载真正的 Invoke-Mimikatz PowerShell 模块。
  • 执行 MimikatzLSASS 转储登录密码。

请注意,Mimikatz 执行仅用于演示目的,可以在没有 AMSI 检测的情况下从 PowerShell 终端执行几乎所有操作。


文章来源: http://mp.weixin.qq.com/s?__biz=MzU4NjY0NTExNA==&mid=2247489446&idx=1&sn=bad5a51ce871654586c685628bd0d824&chksm=fdf97cb3ca8ef5a53eb581430b7680465e48828400ff03828aa5fcc9f5cc08650e9688a59b22#rd
如有侵权请联系:admin#unsafe.sh