0x00.前言

Windows Defender是一款内置在Windows操作系统的杀毒软件程序,本文旨在记录实战环境中,服务器存在Windows Defender情况下转储凭证的渗透手法,技术简单粗糙,但是有效,各位轻喷,抱拳.jpg

0x01.前提条件

  • 能够落地Dump Lsass的免杀程序,这里推荐DumpMinitool/MalSeclogon(截至发文日期,依然有效)
  • 具有BUILTIN\Administrators权限(当前用户(访问令牌)的组信息),通过whoami /all查看

0x02.记录

上一节已经给出的免杀落地的Dump程序,原理不赘述了,感兴趣的可以自己了解,使用方式如下:

DumpMinitool.exe --file xx.dmp --processId [PID] --dumpType Full
Malseclogon.exe -p [PID] -d 1 -o C:\Users\xix\Desktop\test\xx.dmp

主要分析下在转储凭证过程中Windows Defender防护手段:一是转储的应用程序本身静态指纹,二是Windows Defender监控转储lsass行为是可疑活动,三是转储完成后,Windows Defender会规则匹配可疑文件,在几秒钟后删除转储内容。前两步成败在于Dump Lsass的应用程序,所以找到一个能Dump的免杀程序至关重要。

下面介绍的就是本文核心,针对第三步,如何在webshell或者远控端拿出来我们转储,大致思路是既然Windows Defender隔离该文件且有恢复选项,那么被隔离文件一定还在机器上,但在什么路径/位置不得知,所以我们可以找到被隔离文件的位置或者命令行的恢复方法,在机器上恢复该文件。于是,我查了下微软文档,可以利用MpCmdRun.exe通过命令行方式恢复并信任该类型文件或者指定文件名恢复单一文件。

注:使用MpCmdRun.exe,需要管理员权限(BypassUAC)

Dump Lsass操作

按照文件隔离时匹配的规则恢复被隔离的文件

恢复出来的文件

需要注意的是,转储出来文件时,被识别隔离的过程中,桌面右下角会弹框提示,所以转储凭证的过程最好在管理员不在线的状况下操作。虽然上述过程中,我们得到了转储的凭证,但是Windows Defender的保护历史记录还在,管理员依然可以查看到操作Dump Lsass时的告警信息,查找资料发现,记录以特有格式存储在C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory目录下(提示:访问及操作该目录需要管理员权限),而且不是按照顺序添加记录的,随机的将记录内容保存在某一个目录文件下,删除目录下的文件,记录也就被清理了。

清理保护历史记录前

清理保护历史记录后

实战中,直接删除目录过于明显。为了操作的隐蔽性,我这里写好一个批处理文件,执行效果是操作前先检查输出一下当前文件夹下文件信息,然后根据当前机器日期遍历所有子目录匹配文件时间戳得到最新文件(即是最新的Defender记录),将其删除后再检查输出文件夹下文件情况。

0x03.总结

以上,在攻击效果上基本可以在Windows Defender防护下无声息的窃取凭证。本文技术原理较为拙劣,仅在个人实用角度出发,总结记录实战思路,如果路过的师傅在实战中有更好的思路或建议,请不吝赐教,多多分享。

Bypass Windows Defender Dump Lsass(手法拙劣)的更多相关文章

  1. regsvr32 bypass windows defender 新思路

    原文链接:blog 在对regsvr32的用法进行了解之后,对于Casey Smith的远程js脚本执行命令的思路很感兴趣. 命令语法如下: regsvr32 /s /n /u /i:http://1 ...

  2. Dump Lsass内存转储新旧方法

      之前看到一篇关于Lsass内存dump的文章,学习记录一下.   lsass.exe(Local Security Authority Subsystem Service)进程空间中,存有着机器的 ...

  3. Windows Server 2016-配置Windows Defender防病毒排除项

    Windows Server 2016 的计算机上的 Windows Defender 防病毒自动注册你在某些排除项,由你指定的服务器角色定义. 这些排除项不会显示在Windows 安全中心应用中所示 ...

  4. Windows Defender无法开启问题

    针对Win8及以上系统: 按Win+R键,输入services.msc,下滑找到以W开头的Windows Defender相关项,右键在属性中设为自动并开启. (若1无法解决)按Win+R键,输入re ...

  5. 关闭Win10自带的 Windows Defender

    1.按下Win+R,输入gpedit.msc 2.进入组策略,选择计算机配置>管理模板>Windows 组件>Windows Defender 3.双击"关闭 Window ...

  6. Win10如何隐藏Windows Defender任务栏图标

    导读 Windows 10 至发布以来就内置集成了 Windows Defender 安全防护应用,但有许多用户平常压根儿就没注意到它的存在.微软为了使安全防护功能更加明显,Windows 10 周年 ...

  7. 开源软件free download manager在windows defender中报毒

    从官网上下载的fdm lite 3.9.6,从图片中可以看出安装包有数字签名,windows defender报毒,在线杀毒也检出木马,官网的程序更新到了3.9.6版本,在sourceforge上的源 ...

  8. 如何彻底关闭windows defender

    我是一个喜欢裸奔的人,我不喜欢使用那些安全软件,什么360啊,什么毒霸啊让我深恶痛绝,就连windows自带的杀软我都不能忍啊,因为我平时喜欢找一下软件,很多的补丁和注册机,这些安全软件都会误报,所以 ...

  9. Windows Defender Service 是选择Windows 10系统的最大障碍!

    今天从早上开始,Windows Defender Service服务从CPU消耗资源30%一直上升到60%并且无法下降. 我一直使用的是Windows 10 Enterprise 2016长期服务支持 ...

随机推荐

  1. POI导出复杂Excel,合并单元格(1)

    /** * 导出复杂excel 合并单元格 (HSSFWorkbook) */ @GetMapping("/testHSSFWorkbook.do") public void te ...

  2. 利用MATLAB仿真最小发射功率下WSN的连通性和覆盖率

    一.目的 (1)在固定节点个数的前提下,仿真求得使网络保持连通的最小通信半径(最低能级). (2)在上述节点个数和通信半径的前提下,计算随机布撒的节点的覆盖率. 二.方法描述 (1)首先假设通信半径都 ...

  3. Root用户无法使用Tab补齐解决

    1. sudo vim /etc/bash.bashrc 2.取消以下注释 #if [ -f /etc/bash_completion ]; then # . /etc/bash_completion ...

  4. NC20566 [SCOI2010]游戏

    题目链接 题目 题目描述 lxhgww最近迷上了一款游戏,在游戏里,他拥有很多的装备,每种装备都有2个属性,这些属性的值用[1,10000]之间的数表示.当他使用某种装备时,他只能使用该装备的某一个属 ...

  5. 2022-7-13 java_1 第七组 刘昀航

    @ 目录 前言 一.一些基本的指令 二.java 1.java的三个版本 2.java特点 3.运行一个java程序 三.java的数据类型 1.java基本数据类型 2.强制转换的原理 3.八种基本 ...

  6. linux 安装Apache php mysql注意事项

    由于apache的php组件 php.so是由php安装生成的,故需在Apache安装之后才安装php比较合适 libphp5.so是php5提供的,你还需要编译php5才能生成这个文件 你在PHP的 ...

  7. 适合初学者的使用CNN的数字图像识别项目:Digit Recognizer with CNN for beginner

    准备工作 数据集介绍 数据文件 train.csv 和 test.csv 包含从零到九的手绘数字的灰度图像. 每张图像高 28 像素,宽 28 像素,总共 784 像素.每个像素都有一个与之关联的像素 ...

  8. 6.13 NOI 模拟

    \(T1\ first\) \(bitset\)字符串匹配 \(yyds\) \(O(\frac{n^2}{w})\)就是正解! #include<bits/stdc++.h> #defi ...

  9. Luogu4111 [HEOI2015]小Z的房间 (矩阵树,辗转相除高斯消元)

    除法不能用于同余系,要辗转相除.注意不能加入柱子到矩阵. #include <iostream> #include <cstdio> #include <cstring& ...

  10. 浅谈MySQL的sql_mode

    SQL mode 今天我们来分享一下MySQL的SQL mode , 这也是我们比较容易忽略的一点,我们在一开始安装数据库的时候其实就要先考虑要保留哪些SQL mode,去除哪些,合理的配置能够减少很 ...