P4wnP1 USB与赛门铁克反病毒绕过
最近,我使用P4wnP1 image把我手头的Raspberry Pi Zero W转换成了一个bad USB。我的最终目标是运行远程命令shell,同时绕过已启用完全保护的最新版Symantec SEP。我通过创建自己的有效负载payload,可以轻松的运行远程shell,但由于Symantec提供的高级功能SONAR和IPS检测技术使其难以执行。想要解决这个问题并不难,你只需对payload进行加密传送即可,因为这样赛门铁克将无法对其进行分析。
在本文的内容正式开始之前,我建议大家先去阅览以下是这些有关反病毒绕过的文章:
http://niiconsulting.com/checkmate/2018/06/bypassing-detection-for-a-reverse-meterpreter-shell/
https://gbhackers.com/malicious-payload-evasion-techniques/
https://www.shellterproject.com/
实验环境及设备要求:
Raspberry Pi Zero W 和 SD Card
Pi Zero W USB A addon(https://www.amazon.com/MakerFocus-Raspberry-Required-Provide-Connector/dp/B077W69CD1 and http://www.raspberrypiwiki.com/index.php/Raspberry_Pi_Zero_W_USB-A_Addon_Board)
用于攻击的笔记本电脑,本文中的攻击机IP为192.168.1.106。
启用Symantec SEP完全保护的Windows 10机器
设置
P4wnP1
在这里我不会再对P4wnP1 USB的设置进行说明,因为已有几篇文章对此进行了详细的介绍。你可以参阅官方的git https://github.com/mame82/P4wnP1_aloa 和 WIKI https://p4wnp1.readthedocs.io/en/latest/。
设置的一些注意事项,我更改了以下的重要设置项:
热点名称
USB HID攻击脚本
最终设备的一些图片。
受害者机器
我的测试机器运行Windows 10.0.16299.125 和 Symantec Endpoint Protection 14.2的试用版。中国菜刀
我还需确保UAC在默认设置下已启用。
攻击机
我将自己定制的Ubuntu机器用于渗透测试。测试的一个警告是,我在同一个网络上才能连接。你可以通过443等端口隐藏你的连接和出站,这在公司网络上通常是允许的,几乎没有过滤。
攻击我们的目标
Payload
混淆技术在躲避payload检测方面发挥着巨大作用。我喜欢使用c# 或 c来创建自己的payload。这里有一篇关于这方面的精彩文章,你可以进行参阅 https://medium.com/@Bank_Security/undetectable-c-c-reverse-shells-fab4c0ec4f15。对于这个特定的实例,我使用了一个简单的c# payload,源码由上述作者在github托管和创建。
这里我要提醒你对攻击机的IP和端口做一些小的改动,我使用443端口进行测试。
我在受害者机器上运行了一个测试实例,我很惊讶赛门铁克竟然没有检测到。
Payload Delivery
传送payload并不容易。赛门铁克的SONAR非常严密的监控着powershell和命令提示符,似乎能检测到我所有的行为。
我尝试使用certutil从我本地网络服务器上托管的网站上来提供payload。另一种方法是将payload解码为base64,并使用certutil进行解码。但这都失败了。天空彩
最终我使用了一种非常简单的技术,就是通过正在运行的SyncAppvPublishingServer来执行代码。你可以在这里找到有关该技术及类似技术的详细说明。这也让我完全躲过了赛门铁克对powershell的监控。
传送payload我使用了一个简单的命令,通过已躲避检测的powershell下载payload,并且自定义的payload也可以躲避检测。下载后文件将从用户的配置文件中运行。让我们注意力转向以下代码。
获取 shell
为了完成攻击,我设置了bad USB来执行命令。下面是我的设置中的一些图片。我通过WiFi连接到了我的Android手机,访问了我的bad USB。赛门铁克没有检测到,因为这不是USB设备,而是被当作键盘。
HID脚本被设置为等待用户重复性按下Numlock键,何时以及如何执行你完全可以根据你个人的喜好进行修改。注意!USB HID设备将在屏幕上显示,你必须确保用户不会发现或怀疑才行。
我设置的HID脚本如下:
执行后,我获得了一个远程shell。
更新— 其他AV解决方案
根据反馈,我试着测试其他一些解决方案。
到目前为止,Windows Defender在攻击检测方面的能力还是非常强的,如下所示。
Windows Defender
赛门铁克
未来计划
使用基于c的持久性payload传送
修改HID使其更为隐蔽
P4wnP1 USB与赛门铁克反病毒绕过相关推荐
- 华为赛门铁克UTM+防病毒技术
摘要:华赛UTM+产品,旨在为客户提供一个拥有统一设计.融合技术以及全面的安全能力的方案.而在在华赛UTM+诸多的安全能力之中,防病毒技术是体现其融合.全面和高质量安全的核心技术之一. 华赛UTM+产 ...
- 赛门铁克《勒索软件与企业2016》调查报告:企业将面临更多勒索软件威胁
赛门铁克最新发布的报告指出,勒索软件的数量和赎金持续上升,更多企业受到勒索软件的威胁. 任何IT管理者都不愿面对企业的数百台计算机感染勒索软件,关键系统处于离线,以至于企业的全部运营活动都面临威胁的处 ...
- 自动加密企业关键业务数据 赛门铁克推出全新信息保护解决方案
最新推出的Symantec Information Centric Security解决方案,能够帮助企业随时随地对数据进行自动加密.跟踪和撤销,提供卓越的可见性和管控力 近日,全球网络安全领域的领导 ...
- 赛门铁克、卡巴斯基被内地列入禁用安全软件名单
据路透社报道,出于安全因素考虑,中国政府已将美国反病毒软件供应商赛门铁克.俄罗斯的卡巴斯基实验室排除在安全软件供应商之外.周日早些时候,<人民日报>在其英文Twitter账号上发布消息,称 ...
- 赛门铁克2010年大中国区杰出用户奖获奖名单
赛门铁克2010年大中国区"杰出用户奖" 赛门铁克公司今日在2010年赛门铁克大中国区用户大会上宣布了2010年大中国区"杰出用户奖"的获奖名单.这些企业的IT ...
- 兼容Vista 赛门铁克公测新杀毒软件
现在那些提前体验Vista的用户不用担心安全问题了,他们可以使用赛门铁克的这些安全产品来保护自己免受各种安全威胁. 赛门铁克一直对Vsita的核心保护极力反对,担心Vista的核心保护技术" ...
- 赛门铁克:微软杀毒软件Forefront技术不过关
本月2日,微软推出了针对企业用户而设计的安全软件客户端Forefront Client Security,集反病毒.反恶意软件和反间谍软件为一体. 但日前,赛门铁克和Sophos对Forefront的 ...
- 关于赛门铁克sep,spa客户端的看法
本人就赛门铁克所谓的spa 功能 就本公司实际情况做一个综合的阐述,只代表本人意见 1赛门铁克sep 在加两个策略服务器大约>10W 公司目的1:禁止usb的使用 2:客户端 ...
- 赛门铁克企业级防病毒产品 》(Symantec Endpoint Protection)V11.0.6005.562 简体中文版[压缩包]
赛门铁克企业级防病毒产品 >(Symantec Endpoint Protection)V11.0.6005.562 简体中文版[压缩包] 中文名 : 赛门铁克企业级防病毒产品 英文名 : ...
最新文章
- 修改html字体大小
- 「AutoML」强化学习如何用于自动模型设计(NAS)与优化?
- tomcat架构分析(valve源码导读)【转】
- hive substr函数_数据分析工具篇——HQL函数及逻辑
- 一个Demo展示Storyboard的强大
- Commit Monitor–svn监控工具
- 链表题目---6 复制带随机指针的链表
- 浏览器弹不出java_打开网址跳出弹窗“您的浏览器没有获得Java virtual machine 支持”,怎么办?...
- 销量之王,去年程序员最爱看的技术书就是它
- UE中使用正则表达式的一些技巧
- liunx中查看安装软件和卸载软件和启动程序
- SpringData-JPA
- KNN(k-nearest neighbor algorithm)--从原理到实现
- SpringBoot工作原理
- C#——NPOI对Excel的操作、导入导出时异常处理(二)
- Redis学习资料汇总
- 传奇人物____Anders Hejlsberg
- Android使用notifyDataSetChanged刷新适配器数据无效
- 【避免进程死锁】银行家算法
- Java基础知识与集合部分面试题整理