将杀毒软件视为“黄金标准”的突破
作者注:本博文提及的技术和工具可能已过时,不适用于当前环境。但仍可作为学习资源,并可能被整合到现代工具与技术中。
神圣摇钱树推翻实战:2018年网络研讨会后续
卡巴斯基互联网安全套装2017版在测试中完全符合我的预期——所以我作弊了。至少感觉像作弊。
与所有其他基于主机的杀毒和终端防护产品一样,在Windows 10上通过使用Windows Bash子系统(WSL)即可绕过卡巴斯基。附注——太棒了!!!就是这个:https://www.kali.org/tutorials/kali-on-the-windows-subsystem-for-linux/
一旦安装Bash子系统,游戏基本上就开始了。Windows主机杀毒和终端防护产品毫无招架之力,因为子系统对其防护盾不可见。我们迫切需要蓝队人员在此加强防御,至少做到:
- 出口端口过滤
- 最小化域名分类
- 域名白名单必胜!
否则,你会面临这种情况:对手启用WSL,在你离开时重启系统并提取文件。
卡巴斯基是否标记了我通过网络检索此文件的尝试?当然标记了!所以很明显,该文件可以轻松被检测为恶意……
无论测试哪款产品,通过linux/reverse_tcp获取shell:
好吧,我们作弊了,感觉有点脏。我打电话给John说:“和去年一样的方法,一次成功。”这里补充一下,这对所有杀毒和基于主机的终端防护产品都有效。陷入困境,作为测试人员需要获取shell?启用子系统,开始摇滚吧。总之,John告诉我“再努力试试”。
行,我们将其视为命令与控制测试。于是我全力出击:
- 恶意网站
- 感染USB
- 各种版本的Meterpreter
- 自定义Python
- Shellter可执行文件
- Veil
- 内存托管PowerShell调用
- Unicorn
- 宏
- HTA文件
然而,一切都被拦截、捕获、关闭、完蛋,等等。直到我想起了信息安全界新英雄“Trevor”的故事。这个小子无意中成为了命令与控制的灵感来源。
于是,在凌晨1:30,我发现了第二种绕过技术。
步骤1:服务器端TrevorC2配置
步骤2:客户端TrevorC2配置
步骤3:验证受害者设备上的杀毒软件安装
步骤4:建立连接
步骤5:与受害者交互
就是这样!通过两种不同方式绕过杀毒软件:#TrevorForget 和 Windows Bash!
感谢 @HackingDave
想要从本文作者那里学习更多疯狂技能?
查看Jordan和Kent的课程:
- 企业防御
- 假设失陷——带有检测和Microsoft Sentinel的方法论
提供直播/虚拟和点播形式!
网络研讨会:隔间与入侵——将REMnux部署到云端,在云端逆向工程恶意软件