私はクライアントネットワークでのセキュリティテストで忙しく、AV回避が「簡単」な方法を示すように求められました。 Symantecウイルススキャナーでは検出されないveil-evasionを介して、Nice powershell reverse HTTPSファイルを作成しました(Norton Deluxeでテスト)。
それで十分簡単でしたが、実行すると、IPSウイルススキャナーの一部(私がテストしたところ、純粋にIPSです)は、まだメータプリターネットワークトラフィックを検出しています。接続はWiresharkによって "Hello、Certificate、Server Hello Done"メッセージに到達し、その場で強制終了されます。
私の質問は、IPSがこれをどのように検出するかです。meterpreterメッセージの何がこのIPSをトリガーしていますか?次に、meterpreterを使用してこれを回避するために何を使用するか(そして、独自のバックドアを記述する必要はありません) )?
IPSがどのように検出するかを正確に知ることはできないと思います。IPSベンダー間で異なる署名/ルールのようなものである可能性があります。ちなみに、 NETRESECのブログのこの古い記事 などの、リバースHTTPSを識別するために使用できる多くのアーティファクトは、MetasploitのリバースHTTPSで使用されるX.509証明書の同じ特性について述べています。
更新1:一部IPSは、ユーザーと宛先の間の仲介者として機能することにより、SSL/TLS統合プロトコルを分析できますただし、その証明書を受け入れる必要があります。
Update 2:これは、たとえば Snortルール34864 によって Didier Stevens が検出に使用されますMetasploit Meterpreterは、証明書の内容によってHTTPSを逆にします。 Metasploit Meterpreter reverse HTTPS certificate
ファイル内のcommunity.rules
をダウンロードして検索することをお勧めします
デフォルトでは、Metasploitはランダムな4文字のCNを使用して自己署名証明書を生成します。その証明書のいくつかの側面は、おそらくIPSがトリガーされているものです。
詳細オプションHandlerSSLCert
にPEM形式の証明書を提供することで、これを上書きできます。