P4wnP1 USB與賽門鐵克反病毒繞過(guò)的示例分析

本篇文章為大家展示了P4wnP1 USB與賽門鐵克反病毒繞過(guò)的示例分析，內(nèi)容簡(jiǎn)明扼要并且容易理解，絕對(duì)能使你眼前一亮，通過(guò)這篇文章的詳細(xì)介紹希望你能有所收獲。

最近，我使用P4wnP1 image把我手頭的Raspberry Pi Zero W轉(zhuǎn)換成了一個(gè)bad USB。我的最終目標(biāo)是運(yùn)行遠(yuǎn)程命令shell，同時(shí)繞過(guò)已啟用完全保護(hù)的最新版Symantec SEP。我通過(guò)創(chuàng)建自己的有效負(fù)載payload，可以輕松的運(yùn)行遠(yuǎn)程shell，但由于Symantec提供的高級(jí)功能SONAR和IPS檢測(cè)技術(shù)使其難以執(zhí)行。想要解決這個(gè)問(wèn)題并不難，你只需對(duì)payload進(jìn)行加密傳送即可，因?yàn)檫@樣賽門鐵克將無(wú)法對(duì)其進(jìn)行分析。

在本文的內(nèi)容正式開(kāi)始之前，我建議大家先去閱覽以下是這些有關(guān)反病毒繞過(guò)的文章：

http://niiconsulting.com/checkmate/2018/06/bypassing-detection-for-a-reverse-meterpreter-shell/

https://gbhackers.com/malicious-payload-evasion-techniques/

https://www.shellterproject.com/

實(shí)驗(yàn)環(huán)境及設(shè)備要求：

Raspberry Pi Zero W 和 SD Card

Pi Zero W USB A addon（https://www.amazon.com/MakerFocus-Raspberry-Required-Provide-Connector/dp/B077W69CD1 and http://www.raspberrypiwiki.com/index.php/Raspberry_Pi_Zero_W_USB-A_Addon_Board）

用于攻擊的筆記本電腦，本文中的攻擊機(jī)IP為192.168.1.106。

啟用Symantec SEP完全保護(hù)的Windows 10機(jī)器

設(shè)置

P4wnP1

在這里我不會(huì)再對(duì)P4wnP1 USB的設(shè)置進(jìn)行說(shuō)明，因?yàn)橐延袔灼恼聦?duì)此進(jìn)行了詳細(xì)的介紹。你可以參閱官方的git https://github.com/mame82/P4wnP1_aloa 和 WIKI https://p4wnp1.readthedocs.io/en/latest/。

設(shè)置的一些注意事項(xiàng)，我更改了以下的重要設(shè)置項(xiàng)：

熱點(diǎn)名稱

USB HID攻擊腳本

最終設(shè)備的一些圖片。

受害者機(jī)器

我的測(cè)試機(jī)器運(yùn)行Windows 10.0.16299.125 和 Symantec Endpoint Protection 14.2的試用版。

我還需確保UAC在默認(rèn)設(shè)置下已啟用。

攻擊機(jī)

我將自己定制的Ubuntu機(jī)器用于滲透測(cè)試。測(cè)試的一個(gè)警告是，我在同一個(gè)網(wǎng)絡(luò)上才能連接。你可以通過(guò)443等端口隱藏你的連接和出站，這在公司網(wǎng)絡(luò)上通常是允許的，幾乎沒(méi)有過(guò)濾。

攻擊我們的目標(biāo)

Payload

混淆技術(shù)在躲避payload檢測(cè)方面發(fā)揮著巨大作用。我喜歡使用c# 或 c來(lái)創(chuàng)建自己的payload。這里有一篇關(guān)于這方面的精彩文章，你可以進(jìn)行參閱 https://medium.com/@Bank_Security/undetectable-c-c-reverse-shells-fab4c0ec4f15。對(duì)于這個(gè)特定的實(shí)例，我使用了一個(gè)簡(jiǎn)單的c# payload，源碼由上述作者在github托管和創(chuàng)建。

這里我要提醒你對(duì)攻擊機(jī)的IP和端口做一些小的改動(dòng)，我使用443端口進(jìn)行測(cè)試。

我在受害者機(jī)器上運(yùn)行了一個(gè)測(cè)試實(shí)例，我很驚訝賽門鐵克竟然沒(méi)有檢測(cè)到。

Payload Delivery

傳送payload并不容易。賽門鐵克的SONAR非常嚴(yán)密的監(jiān)控著powershell和命令提示符，似乎能檢測(cè)到我所有的行為。

我嘗試使用certutil從我本地網(wǎng)絡(luò)服務(wù)器上托管的網(wǎng)站上來(lái)提供payload。另一種方法是將payload解碼為base64，并使用certutil進(jìn)行解碼。但這都失敗了。

最終我使用了一種非常簡(jiǎn)單的技術(shù)，就是通過(guò)正在運(yùn)行的SyncAppvPublishingServer來(lái)執(zhí)行代碼。你可以在這里找到有關(guān)該技術(shù)及類似技術(shù)的詳細(xì)說(shuō)明。這也讓我完全躲過(guò)了賽門鐵克對(duì)powershell的監(jiān)控。

傳送payload我使用了一個(gè)簡(jiǎn)單的命令，通過(guò)已躲避檢測(cè)的powershell下載payload，并且自定義的payload也可以躲避檢測(cè)。下載后文件將從用戶的配置文件中運(yùn)行。讓我們注意力轉(zhuǎn)向以下代碼。

獲取 shell

為了完成攻擊，我設(shè)置了bad USB來(lái)執(zhí)行命令。下面是我的設(shè)置中的一些圖片。我通過(guò)WiFi連接到了我的Android手機(jī)，訪問(wèn)了我的bad USB。賽門鐵克沒(méi)有檢測(cè)到，因?yàn)檫@不是USB設(shè)備，而是被當(dāng)作鍵盤。

HID腳本被設(shè)置為等待用戶重復(fù)性按下Numlock鍵，何時(shí)以及如何執(zhí)行你完全可以根據(jù)你個(gè)人的喜好進(jìn)行修改。注意！USB HID設(shè)備將在屏幕上顯示，你必須確保用戶不會(huì)發(fā)現(xiàn)或懷疑才行。

我設(shè)置的HID腳本如下：

執(zhí)行后，我獲得了一個(gè)遠(yuǎn)程shell。

更新—?其他AV解決方案

根據(jù)反饋，我試著測(cè)試其他一些解決方案。

到目前為止，Windows Defender在攻擊檢測(cè)方面的能力還是非常強(qiáng)的，如下所示。

Windows Defender

賽門鐵克

未來(lái)計(jì)劃

使用基于c的持久性payload傳送

修改HID使其更為隱蔽

上述內(nèi)容就是P4wnP1 USB與賽門鐵克反病毒繞過(guò)的示例分析，你們學(xué)到知識(shí)或技能了嗎？如果還想學(xué)到更多技能或者豐富自己的知識(shí)儲(chǔ)備，歡迎關(guān)注億速云行業(yè)資訊頻道。