Mimikatz - обсуждение

[hitman20]

Уже давно идет легенды про эту штучку, сейчас как раз опять пошла волна шифровальщиков и там в тандеме опять Mimikatz .
Как он все еще жив, если любая современная система из коробки уже гасит его? Ну может скажете, что криптиют, чтоб даже defender (встроенный AV от MS) , то как насчет проактивной защиты UAC?
Я специально скачал на новую систему и пришлось 10 мин подшаманить, отключить что что можно, чтоб запустить Mimikatz.
Так в чем все таки прикол? может я что то не догоняю?

 

[MrHacker1337_228]

Любые шифровальщики запускают в среде с отключенными AV/EDR... Mimikatz вероятно, тоже. Ты удивишься но полностью обойти дефендер не так уже и сложно, существуют достаточно известные уязвимые подписанные драйвера (loldrivers), создаёшь службу, вызываешь IOCTL код дающий например примитив записи, а дальше делаешь что хочешь, можешь пытаться выполнить свой код, чему будет сопротивляться KASLR и KCFG, можешь попытаться сменить PreviousMode, можешь снять ядерных подписки на события (таким образом полностью убив дефендер его процесс будет висеть но не будет делать просто ничего). Вот буквально на неделе тестил. Взял с гита прогу которая снимает ядерные хуки, чутка допилил, накрыл своим криптором и при включённой защите в реальном времени дефендер ничего не сказал ну и хуки снялись можно запускать хоть шкафчик. А вообще крипт это примитивнейшая фигня которая от детектов то особо не спасает, рантайм не закриптуешь, пожалуй самое интересное что можно сделать это криптор который будет эмулировать выполнение программы (что-то типа DBI, как Intel PIN)правда это ну очень сложно, не стабильно и медленно, ну и результат ясное дело не 100% обход любого AV. Насчёт обхода AV исключительно из юзера то да локер ты не запустишь скорее всего ну ваще никак, хотя хз, возможно умный инжект в какой-то процесс и сработает