将杀毒软件视为“黄金标准” - Black Hills信息安全公司

作者：C2、信息类、John Strand 反病毒、AV、AV绕过、Bash、现金牛 tipping、TrevorC2、网络研讨会

杀毒软件绕过技术

Jordan Drysdale // 咨询说明： 本博文中引用的技术和工具可能已过时，不适用于当前情况。然而，这篇博文仍可作为学习机会，并可能更新或整合到现代工具和技术中。

2018年神圣现金牛 tipping网络研讨会后续

伟大的Kaspersky Internet Security 2017反病毒产品在测试中完全满足了我的所有期望，所以我作弊了。至少感觉像是作弊。

Kaspersky，就像所有其他基于主机的AV和端点保护产品一样，在Windows 10上可以通过使用Windows Bash子系统（WSL）来绕过。旁注 - 是的!!!!! 这个：https://www.kali.org/tutorials/kali-on-the-windows-subsystem-for-linux/

一旦我们安装了Bash子系统，基本上游戏就开始了。Windows主机AV和EP产品毫无胜算，因为子系统对它们的防护盾是不可见的。我们真的需要我们的蓝队成员在这里加强并执行以下操作：

• 出口端口过滤
• 至少进行域分类
• 域白名单必胜！

否则，你会遇到这种情况：对手启用WSL，在你离开时重启你的系统并获取文件。

Kaspersky是否标记了我通过网络检索此文件的尝试？当然标记了！所以很明显，该文件可以很容易地被检测为恶意文件…

无论测试什么产品，通过linux/reverse_tcp的shell：

好吧，所以我们作弊了，感觉有点脏。我打电话给John，说了类似“和去年一样的东西奏效了，第一次尝试就成功了”的话。让我在这里补充一下，这将对所有AV和基于主机的EP产品都有效。被埋没了，什么都没有用，你作为测试者需要一个shell？启用子系统，摇滚吧。不管怎样，John告诉我“再努力试试”。

好吧，我们将把这当作命令和控制测试。所以我向它扔了几乎所有东西：

• 恶意网站
• 受感染的USB
• 各种风格的Meterpreter
• 自定义Python
• Shellter EXE
• Veil
• 内存cradle PS调用
• Unicorn
• 宏
• HTA

不管怎样，一切都失败了，被塞住了，在轨道上被抓住，关闭，完蛋了，等等。直到我想起了信息安全最新英雄和传奇的故事：“Trevor”。所以这个小家伙，完全不是他的错，成为了命令和控制的灵感。

因此，在凌晨1:30，我发现了第二种绕过技术。

步骤1： 服务器端TrevorC2配置：

步骤2： 客户端TrevorC2配置：

步骤3： 验证受害者上的AV安装

步骤4： 建立连接

步骤5： 与受害者交互

就是这样！以两种不同的方式绕过了杀毒软件。#TrevorForget和Windows上的Bash！

感谢@HackingDave

想从写这篇博客的人那里学到更多疯狂技能吗？ 查看Jordan和Kent的这些课程：

• 防御企业
• 假设妥协 - 带有检测和Microsoft Sentinel的方法论 提供实时/虚拟和点播服务！

网络研讨会：隔间与妥协 - 将REMnux部署到云端，在云端逆向工程恶意软件