Dumpert,一个使用直接系统调用和API解除连接的LSASS内存转储器
最近的恶意软件研究表明,使用直接系统调用来逃避安全产品使用的用户模式API挂钩的恶意软件数量有所增加。 这些工具演示了直接系统调用和API取消的使用,并将这些技术结合在概念验证代码中,该代码可用于使用Cobalt Strike创建LSASS内存转储,同时不触及磁盘并避开AV / EDR监控的用户模式API调用。
代码包含两个版本:
可执行版本和 DLL 版本,DLL 版本可通过如下命令来运行:
rundll32.exe C:\Dumpert\Outflank-Dumpert.dll,Dump
同时还提供了 sRDI 版本,包含一个 Cobalt Strike 攻击者脚本。此脚本使用shinject将dumpert DLL的sRDI shellcode版本注入当前进程。 然后它等待几秒钟让lsass minidump完成并最终从受害者主机下载minidump文件。
编译指引:
This project is written in C and assembly.
You can use Visual Studio to compile it from source.
sRDI 代码: https://github.com/monoxgas/sRDI
