将防病毒软件视为“黄金标准”的反思

作者：John Strand
标签：反病毒、AV绕过、Bash、TrevorC2、网络研讨会

注意： 本博文中引用的技术和工具可能已过时，不适用于当前环境。但本文仍可作为学习机会，并可能用于更新或整合到现代工具和技术中。

神圣现金牛 tipping 网络研讨会2018后续

伟大的卡巴斯基互联网安全2017防病毒产品在测试中完全符合我的预期——所以我作弊了。至少感觉像作弊。

与所有其他基于主机的AV和终端保护产品一样，卡巴斯基在Windows 10上可以通过使用Windows Bash子系统（WSL）被绕过。附注——是的！！！！这个：https://www.kali.org/tutorials/kali-on-the-windows-subsystem-for-linux/

一旦安装了Bash子系统，基本上游戏就开始了。Windows主机AV和EP产品毫无胜算，因为子系统对它们的防护盾是不可见的。我们真的需要蓝队在这里加强并执行以下操作：

• 出口端口过滤
• 至少进行域名分类
• 域名白名单获胜！

否则，你会遇到这种情况：对手启用WSL，在你离开时重启系统并拉取文件。

卡巴斯基是否标记了我通过网络检索此文件的尝试？当然标记了！所以很明显，该文件可以轻松被检测为恶意……

无论测试哪种产品，通过linux/reverse_tcp的shell：

是的，好吧，所以我们作弊了，感觉有点脏。我打电话给John，说了类似“同样的事情像去年一样奏效，第一次尝试就成功了”的话。让我补充一下，这对所有AV和基于主机的EP产品都有效。被埋没，没有任何效果，作为测试人员你需要一个shell？启用子系统，摇滚吧。不管怎样，John告诉我“再努力试试”。

好吧，我们将其视为命令和控制测试。所以我向它扔了所有东西：

• 恶意网站
• 受感染的USB
• 各种版本的Meterpreter
• 自定义Python
• Shellter EXE
• Veil
• 内存摇篮PS调用
• Unicorn
• 宏
• HTA

不管怎样，一切都失败了，被塞住，被追踪到，关闭，完蛋，等等。直到我想起了信息安全最新英雄和传奇“Trevor”的故事。所以这个小家伙，毫无过错，成为了命令和控制的灵感。

因此，在凌晨1:30，我发现了第二种绕过技术。

步骤1： 服务器端TrevorC2配置：

步骤2： 客户端TrevorC2配置：

步骤3： 验证受害者上的AV安装

步骤4： 建立连接

步骤5： 与受害者交互

就这样！以两种不同的方式绕过了防病毒软件。#TrevorForget 和 Windows上的Bash！

感谢@HackingDave

想从写这篇博客的人那里学到更多疯狂技能？
查看Jordan和Kent的这些课程：

• 防御企业
• 假设妥协——带有检测和Microsoft Sentinel的方法论

提供直播/虚拟和点播！

网络研讨会： 隔间与妥协：将REMnux部署到云中，在云中逆向工程恶意软件

返回顶部

Black Hills Information Security, Inc.
890 Lazelle Street, Sturgis, SD 57785-1611 | 701-484-BHIS (2447)
© 2008
关于我们 | BHIS部落公司 | 隐私政策 | 联系

链接
搜索网站