Как скрыть вирус от windows defender

Время на прочтение
4 мин

Количество просмотров 27K

Всем привет. Сегодня рассмотрим вариант запуска mimikatz на Windows 10. Mimikatz — инструмент, реализующий функционал Windows Credentials Editor и позволяющий извлечь аутентификационные данные залогинившегося в системе пользователя в открытом виде.

В ходе пентеста полезно иметь штуку, которая сдампит пароли юзеров, но сейчас даже встроенный в винду стандартный Windows Defender становится проблемой и может помешать нашим грандиозным планам.

Замечу, что этот способ подходит и для других антивирусных продуктов (Virustotal ДО и ПОСЛЕ тоже так считает), которые проводят статичный анализ бинарников по сигнатурам.
Так что хоть и данный способ вряд ли поможет вам против EDR решений, но легко поможет обойти Windows Defender.

Раньше его можно было обойти изменением слов в файле с mimikatz на mimidogz, удалением пары строк в метаданных и баннеров. Сейчас же это стало сложнее, но все же возможно.

За идею всего этого действа выражаю благодарность человеку с ником ippsec.

В данной статье мы будем использовать:

• Windows 10 с включенным Windows Defender (с обновленными базами)
• Mimikatz
• Visual Studio
• HxD (hex редактор)

Копируя mimikatz на компьютер жертвы, мы ожидаемо видим такой алерт.

Далее мы проведем серию манипуляций, чтобы Defender перестал видеть тут угрозу.

Первым делом, найдем и заменим слова mimikatz. Заменим mimikatz например на thunt (заменить можно на что угодно), а MIMIKATZ на THUNT. Выглядит это примерно вот так.

Следом отредактируем в Visual Studio файл mimikatz\mimikatz\mimikatz.rc (который после нашей замены теперь thunt.rc), заменяя mimikatz и gentilkiwi на что угодно, также не забудем заменить mimikatz.ico на любую другую иконку. Жмем «пересобрать решение» (или rebuild solution) и получаем нашу обновленную версию mimikatz. Скопируем на компьютер жертвы, иии…алерт. Давайте узнаем, на что срабатывает Defender. Самый простой способ это копировать бинарник с разным размером до первого срабатывания антивируса.

Для начала скопируем половину и скопируем на машину с Windows 10.

head –c 600000 mimikatz.exe > hunt.exe

Defender молчит, уже неплохо. Экспериментируя, найдем первое срабатывание. У меня это выглядело так:

head -c 900000 mimikatz.exe > hunt.exe – не сработал
head -c 950000 mimikatz.exe > hunt.exe –  сработал 
head -c 920000 mimikatz.exe > hunt.exe – не сработал
head -c 930000 mimikatz.exe > hunt.exe – не сработал
head -c 940000 mimikatz.exe > hunt.exe –  сработал 
head -c 935000 mimikatz.exe > hunt.exe – не сработал
head -c 937000 mimikatz.exe > hunt.exe –  сработал
head -c 936000 mimikatz.exe > hunt.exe – не сработал
head -c 936500 mimikatz.exe > hunt.exe –  сработал
head -c 936400 mimikatz.exe > hunt.exe –  сработал
head -c 936300 mimikatz.exe > hunt.exe –  сработал 
head -c 936200 mimikatz.exe > hunt.exe – не сработал

Откроем hunt.exe в hex редакторе и смотрим, на что может сработать Defender. Глаз уцепился за строку KiwiAndRegistryTools.

Поиграемся со случайным капсом — стало KiWIAnDReGiSTrYToOlS, сохраним и скопируем. Тишина, а это значит, что мы угадали. Теперь найдем все вхождения этих строк в коде, заменим и пересоберем наш проект. Для проверки выполним head -c 936300 mimikatz.exe > hunt.exe. В прошлый раз Defender сработал, сейчас нет. Движемся дальше.

Таким не хитрым способом, добавляя все больше строк в наш hunt.exe, были обнаружены слова-триггеры — wdigest.dll, isBase64InterceptOutput, isBase64InterceptInput, multirdp, logonPasswords, credman. Меняя их случайным капсом, я добивался того, что Defender перестал на них ругаться.
Но не может же быть все так легко, подумал Defender и сработал на функции, которые импортируются и чувствительны к регистру. Это функции, которые вызываются из библиотеки netapi32.dll.

• I_NetServerAuthenticate2
• I_NetServerReqChallenge
• I_NetServerTrustPasswordsGet

Если мы взглянем на netapi32.dll (C:\windows\system32\netapi32.dll), то мы увидим, что каждой функции присвоен номер.

Изменим вызов функции с вида
windows.netapi32.I_NetServerTrustPasswordsGet(args)
на
windows.netapi32[62](args)
Для этого нам надо заменить mimikatz\lib\x64\netapi32.min.lib. Создадим файл netapi32.def и запишем туда следующие строки:

LIBRARY netapi32.dll
EXPORTS
  I_NetServerAuthenticate2 @ 59
  I_NetServerReqChallenge @ 65
  I_NetServerTrustPasswordsGet @ 62

Сохраняем и выполним команду (не забудьте на всякий случай сделать бэкап оригинала netapi32.min.lib)

lib /DEF:netapi32.def /OUT:netapi32.min.lib

В очередной раз пересоберем проект и скопируем то, что у нас получилось. Defender молчит. Запустим получившейся mimikatz с правами администратора.

Успех. Таким образом mimikatz запущен и Windows Defender не сработал, чего мы и добивались. Пароли, явки и хеши выданы.

Подводные камни

Ожидание:

* Username : thunt
* Domain : DESKTOP-JJRBJJA
* Password : Xp3#2!^&qrizc

Реальность:

* Username : thunt
* Domain : DESKTOP-JJRBJJA
* Password : (null)

Ситуация в жизни несколько отличается от лабораторных условий. Возможно, для просмотра пароля вам придется поработать с реестром. Например, включить или создать ключ UseLogonCredential (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest). Но и с этим могут возникнуть проблемы, т.к. при перезагрузке ключи могут выставляться обратно.

Может быть и ещё хуже, если в случае запуска на одной из последних версии Windows 10, вместо пароля в plain-text вы увидите вот такое:

* Password : _TBAL_{68EDDCF5-0AEB-4C28-A770-AF5302ECA3C9}

Все дело в механизме TBAL, который является наследником Automatic Restart Sign-On (ARSO). Теперь, когда запрашивается TBAL, lsasrv проверяет является ли аккаунт локальным или MS аккаунтом, и исходя из этого, использует msv1_0 или cloudAP, чтобы сохранить все необходимое для возобновления сессии пользователя. После чего механизму autologon выставляется захардкоженный пароль _TBAL_{68EDDCF5-0AEB-4C28-A770-AF5302ECA3C9}.

Тем не менее в лабораторных условиях мы получили пароль пользователя, а в боевой обстановке как минимум можем получить хеши.

1. Нажмите Пуск и откройте Параметры . В разделе Конфиденциальность и защита выберите Защита от вирусов и угроз.

2. В разделе Параметры защиты от вирусов и угроз выберите Управление настройками, а затем в разделе Исключения нажмите Добавление или удаление исключений.

   

3. Нажмите Добавить исключение, а затем выберите файлы, папки, типы файлов или процесс. Исключение папки будет также применяться ко всем вложенным в нее папкам.

1. Выберите Пуск  > Параметры  > Обновление и безопасность  > Безопасность Windows > Защита от вирусов и угроз.

2. В разделе Параметры защиты от вирусов и угроз выберите Управление настройками, а затем в разделе Исключения нажмите Добавление или удаление исключений.

   

3. Нажмите Добавить исключение, а затем выберите файлы, папки, типы файлов или процесс. Исключение папки будет также применяться ко всем вложенным в нее папкам.

Приветствую!

Одна из «краеугольных» проблем с защитником Windows — в том, что он удаляет файлы без предупреждения (либо блокирует их и не позволяет запустить/скопировать). Причем, не появляется нигде никакого сообщения с кнопкой о том, разрешить ли эту операцию… Почему до сих пор это не исправлено? 😥

Довольно часто с этим сталкиваются любители игр (особенно при использовании различных «дополнений» к основному установщику игры).

Ниже предложу пару способов, как можно добавить в исключение защитника определенную папку (например, это можно сделать для каталога с играми).*

* Важно: имейте ввиду, что в такой папке-исключения не будут проверяться никакие файлы (что может сказаться на защите вашей ОС. Внимательно просматривайте все файлы, что вы из нее запускаете!).

*

*

Добавляем папку с играми в исключения защитника

📌 ШАГ 1

Для начала открываем проводник (Win+E) и находим папку, которую нужно добавить в исключения (т.е. из которой защитник что-то удаляем). В моем случае это каталог: C:\Users\Desktop\Games (путь нужно скопировать, он будет нужен).

*

📌 ШАГ 2

Далее нужно запустить терминал Windows от имени администратора (в большинстве случаев достаточно кликнуть ПКМ по меню ПУСК, а затем в меню выбрать оное…).

Затем нужно ввести следующие команды (я их выделил коричневым; после каждой нажимать Enter):

1. Get-MpPreference | fl excl* — показывает какие каталоги были добавлены в исключения (т.е. не проверяются защитником);
2. Add-MpPreference -ExclusionPath «C:\Users\Desktop\Games» — добавление папки в исключения (т.е. защитник ее не будет проверять! Разумеется, вместо моего пути — вам нужно добавить свой каталог). См. скрин ниже; 👇
3. Remove-MpPreference -ExclusionPath «C:\Users\Desktop\Games» — удаление каталога из списка исключений (т.е. защитник начнет его проверять снова).

*

📌 ШАГ 3

Вообще, введенные ваше команды должны сработать сразу же (как и действия защитника). Но на всякий случай я бы порекомендовал перезагрузить машину…

*

📌 ШАГ 4

Есть альтернативный вариант работы с защитником — из параметров ОС (правда, он не такой удобный…).

Для начала потребуется открыть вкладку «Безопасность Windows | Защита от вирусов и угроз». См. скрин ниже. 👇

Далее перейти в раздел настроек «Параметров защиты от вирусов и других угроз» (по англ. «Virus & threat protection settings») — затем прокрутить страничку вниз и во вкладке «Исключения» (по англ. «Exclusion») нажать по ссылке «Добавить» (или «Add…»).

В этой вкладке можно указать те папки, которые нужно исключить из проверок защитника (тут уже, кстати говоря, есть наша добавленная ранее папка). На мой взгляд удобнее работать через терминал (быстрее 😉).

*

На сим пока всё… Успехов!

👋

Windows Defender — это программное обеспечение для защиты компьютера от различных вредоносных программ, включая вирусы, трояны, шпионские программы и другие угрозы. Он является встроенным антивирусным решением, поставляемым с операционной системой Windows.

Однако, иногда Windows Defender может блокировать определенные приложения, которые он считает потенциально опасными или неизвестными. В большинстве случаев это делается для защиты пользователя от вредоносных программ, но иногда это может привести к блокировке доверенных программ.

Существует несколько способов обойти защиту Windows Defender и разрешить запуск блокированного приложения.

1. Исключение файла из проверки Windows Defender

Один из простых способов обойти защиту Windows Defender — это добавить файл или папку в список исключений. Для этого необходимо выполнить следующие шаги:

1. Откройте Windows Security (бывший Windows Defender Security Center).
2. Нажмите на вкладку «Защита от вирусов и угроз».
3. Прокрутите вниз и нажмите на «Управление настройками для защиты от вирусов и угроз».
4. В разделе «Исключения» нажмите на «Добавить или удалить исключения».
5. Выберите «Добавить исключение» и укажите путь к файлу или папке, которую вы хотите исключить.
6. Нажмите «ОК» для сохранения изменений.

Теперь Windows Defender не будет блокировать указанный файл или папку.

2. Отключение временного режима

Еще один способ обойти защиту Windows Defender — это отключить временный режим проверки. Временный режим позволяет временно отключить защиту Windows Defender для запуска блокированных приложений. Чтобы отключить временный режим, выполните следующие действия:

1. Откройте Windows Security.
2. Нажмите на вкладку «Защита от вирусов и угроз».
3. Прокрутите вниз и нажмите на «Управление настройками для защиты от вирусов и угроз».
4. В разделе «Технический режим» нажмите на «Включить временный режим».
5. Подтвердите свое намерение включить временный режим.

Теперь можно запустить заблокированное приложение без дополнительных предупреждений со стороны Windows Defender.

3. Изменение настроек контроля учетных записей (UAC)

Контроль учетных записей (UAC) — это функция безопасности, которая предназначена для предотвращения запуска нежелательных изменений на компьютере. Он блокирует некоторые приложения, достаточно новых или очень редко используемых, поскольку они могут представлять угрозу безопасности.

Чтобы изменить настройки UAC и разрешить запуск блокированного приложения, выполните следующие действия:

1. Откройте «Панель управления» и перейдите в раздел «Учетные записи и защита пользователей».
2. Нажмите на «Изменить настройки контроля учетных записей».
3. Передвиньте ползунок на необходимый уровень безопасности (выше или ниже «Уведомить только при изменении настроек»).
4. Нажмите «ОК» для сохранения изменений.

Теперь можно запустить блокированное приложение без преград со стороны UAC.

Заключение

Windows Defender — мощный инструмент безопасности, который может блокировать некоторые приложения в целях защиты от вредоносных программ. Однако, иногда требуется запустить блокированное приложение. В этой статье были описаны три способа обойти защиту Windows Defender и разрешить запуск блокированного приложения: добавление файла в список исключений, отключение временного режима проверки и изменение настроек UAC. При использовании этих способов следует быть предельно осторожным и убедиться, что запускаемое приложение не представляет угрозы для компьютера или личных данных пользователя.