Hogyan lehet áthidalni antivírus 5 percig
Papír biztonság nagyon unatkozott, ezért úgy döntöttem, hogy gyakorolni egy kicsit zavart. Nem is olyan régen volt az esélye, hogy a maguk számára, hogy milyen könnyen a támadó a legminimálisabb képesítések képesek megkerülni a népszerű „high-end” anti-vírus szoftver. A mai poszt elkötelezett a rövid története a harcot szkriptkölykök egy népszerű Antivirus.
Miután egy kemény élet bezopasnik (ebből gyakran megkövetelik, hogy képes legyen minden) hozott nekem Pentest. Azt a feladatot kapta, hogy ellenőrizze a szervezet sebezhetőségét vírustámadás.
A cég használt anti-vírus szoftver az egyik legjobb gyártók. Antivirus telepített szerverek (beleértve a postai és a proxy szerver) és a felhasználó számítógépén. A központosított irányítás és a frissítés túl.
A jó biztonsági és egy kis tapasztalattal folytat Pentest megígérte, hogy nem mer sok sikerrel.
Ugyanakkor a gyakorlati megvalósítása látható egy másik: a támadó képes csatlakoztatni a támadás és a bypass antivírus védelem még a szabványos hagyományos módon, hogy bármely szakember számára gyakorlatilag. Hogy - az alábbiakban ismertetjük.
szabványos eszközök
Mint már említettük, a támadó nem kell a magasan képzett. Elég szkriptkölykök készségek -, hogy megtalálja a megfelelő eszköz.
És nézd sokáig nem szükséges - minden amire szüksége van a Metasploit keret.
De a felhasználók számára van egy jó hírünk: Meterpreter megtalálható szinte minden anti-vírus. Ha töltse fel az exe-fájlt, és „takarmány» VirusTotal, megkapjuk a következő eredménnyel:
Mint látható, az anti-vírus, a túlnyomó többség, Meterpreterkak rosszindulatú programokat. Ez nem meglepő: ez már sok éve.
Vajon ez a győzelem egy antivírus szkriptkölykök? Nem igazán.
Antivirus ki a játék
5 perc múlva a Google-on keresnek pár kész megoldásokat bypass vírusölő. Ha közelebbről megnézzük nevű eszköz Shellter (honlap).
Shellter hogy elrejtse a rosszindulatú kódot a Windows futtatható fájlokat. Egyszerűen fogalmazva, Shellter «bot» a natív 32 bites alkalmazás kódját rosszindulatú program, amely automatikusan elindul, indításkor futtatásra. A további funkciók lehet jegyezni Shellter minimális változtatásokat a szerkezet a futtatható program használata a „szemét” és kódját kódoló „terhelés”. Mindez megnehezíti észlelni vírusirtó végleges fájlt.
Az automata üzemmódban Shellter minimális felhasználói beavatkozás: Next, Next, Next, és kész. Először, PE-kiválasztott alkalmazás fájlt, majd - a kívánt hasznos teher (ahol Meterpreter a Shellter már beépített óvintézkedés).
A kimenet egy futtatható fájl, ami el van rejtve a „hasznos” a terhelési Meterpreter (vagy más kód).
Ha létrehoz egy fájlt a szennyezett Shellter és próbálja ellenőrizni, hogy VirusTotal, látjuk a következő:
észlelési arány csökkent katasztrofálisan. Ez azt jelenti, hogy a legtöbb víruskereső program telepítve munkaállomások és szerverek nem határozza meg ezt a fájlt, veszélyes! Mindent, beleértve Shellter telepítés vette az erőt 5 perc.
Így, bár az aláírás a trójai már sok éve ismert (Metasploit és Meterpreter szabványos szerelvény Kali Linux) keresztül Shellter népszerű vírusirtó szoftver semmit sem tehet vele erről.
És a gyakorlatban?
De a teszt VirusTotal vizsgálat nélkül a „terepen” nem mutató. Talán, ha a trójai által észlelt viselkedési tüneteket? Ennek tesztelésére, tesztelje a fájlt két népszerű antivírus: Eset (5.0.21.26), és a Kaspersky Internet Securiy (17.0.0.611).
Egy gyors teszt azt mutatja, a következő:
Így az anti-vírus természetesen Meterpreter limit funkciót, de még mindig hagy tág teret a támadó.
Következtetések és ajánlások
Teszt ismét azt mutatja, hogy az anti-vírus önmagában nem csodaszer. Means bypass anti-vírus szoftver nagyon népszerű, és szabadon rendelkezésre áll. Természetesen, miután a letöltés a fertőzött fájlokat VirusTotal, anti-vírus adatbázis lesz pótolni, és a lehetőséget az ilyen alapok csökken. De ez nem segít, hogy megvédje a célzott támadások.
Ez nem azt jelenti, hogy az anti-vírus szoftver használhatatlan. Csak nem rendelkezik a szükséges munka hatékonyságát ellensúlyozni lehet a személyzet.
A történet véget ért, hogy a felhasználó könnyen „pergetett”: az asztalon a rendszer kérni fogja a vállalati képzés informatikai biztonság. A képzés során, akkor arra ösztönözték, hogy:
Ezen talán mindent.