Mimikatz的18种免杀姿势及防御策略(7)

但是发现仍被查杀。

VT查杀率29/71，怎一个惨字了得。

Donut下载https://github.com/TheWover/donut

下载shellcode_inject.rb代码https://raw.githubusercontent.com/TideSec/BypassAntiVirus/master/tools/mimikatz/shellcode_inject.rb

1、首先使用Donut对需要执行的文件进行shellcode生成,这里对mimi进行shellcode生成,生成bin文件,等下会用到。

windows下的0.9.3版本的donut没能生成，于是使用了0.9.2版本。

kali下的0.9.3可正常使用。

2、将上面的shellcode_inject.rb放入/opt/metasploit-framework/embedded/framework/modules/post/windows/manage下(实际路径可能不同,也就是metasploit-framework的上级路径,根据实际情况调整),然后进入msf,reload_all同时载入所有模块。

kali里是在目录/usr/share/metasploit-framework/modules/post/windows/manage/

mac下是在/opt/metasploit-framework/embedded/framework/modules/post/windows/manage

3、使用之前载入的shellcode_inject注入模块,这里是获取session后的操作了,session先自己上线再进行以下操作

最后成功加载了mimi,使用shellcode注入执行,有更强的隐蔽性。

VT平台上mimi.bin文件查杀率2/59，卡巴斯基这都能查杀…

参考https://www.jianshu.com/p/12242d82b2df

参考远控免杀专题(29)-C#加载shellcode免杀-5种方式(VT免杀率8-70)：https://mp.weixin.qq.com/s/Kvhfb13d2_D6m-Bu9Darog

下载

将katz.cs放置C:WindowsMicrosoft.NETFramework2.0.50727先powoershell执行