web-dev-qa-db-ja.com

Meterpreter AVバイパスの新しい手法

AVをバイパスできるWindows Meterpreterペイロードを作成する手法を共有したい人はいますか?最近、Defenderが検出に非常に優れていることに気づきました。私が使用したテクニックのいくつかをここで共有します。私が使用しようとしている特定の方法は、msfvenomを使用して実行可能なMeterpreterペイロードを作成することです。それをWindows 10に転送してから、msfconsoleでエクスプロイト/マルチ/ハンドラーをリバースシェルステージャーで実行します。 Windowsをダブルクリックして、meterpreterを確立します。

私はもう試した:

  1. MsfvenomをShikata Ga Naiエンコーダーと共に使用しました。検出されました。
  2. Python Meterpreterペイロードを作成しました。検出されませんでした。ただし、Windows meterpreterペイロードと同じ機能はありません。
  3. Msfvenomとupxで作成されたmeterpreterペイロードでGolangを使用してみました。検出されませんでしたが、exeには例外があります。
2
Robert

それが機能することがわかった1つの方法は、次のとおりです。

  • msfvenomからシェルコードを生成し、
  • 次に、そこから悪い文字を削除します。つまり、-b '\x00'
  • シェルコードを暗号化し、
  • そしてそれをCreateProcessを介してシェルコードを復号化して実行する自己記述のCプログラムに入れます

すべての静的AV分析をバイパスします。ただし、おそらくWindows Defenderを使用した動的分析に巻き込まれる可能性があります。

1
Vipul Nair