de securitate de hârtie destul de plictisit, așa că am decis să practice un pic distras. Nu cu mult timp în urmă am avut ocazia de a vedea pentru ei înșiși cât de ușor un atacator are calificările cele mai minime, capabile de a eluda populare „high-end“ software-ul anti-virus. Postul de azi este dedicat scurta istorie a script kiddies lupta cu un antivirus populare.
Odată ce o bezopasnik viata grea (din care de multe ori nevoie să fie în măsură tuturor) mi-a adus Pentest. Acesta a primit sarcina de a verifica vulnerabilitatea organizației atac de virus.
Compania a folosit software anti-virus de la unul dintre furnizorii de top. Antivirus instalate pe servere (inclusiv servere de poștă și de proxy) și pe computerele utilizatorilor. Managementul centralizat și o actualizare a fost prea.
O bună securitate și un pic de experiență în efectuarea Pentest nu a promis de risc mult succes.
Cu toate acestea, realizarea practică arătat un alt: atacatorul poate monta un atac și de protecție antivirus de by-pass, chiar și cu mijloace convenționale standard disponibile pentru oricare specialist practic. Cum - descrise mai jos.
instrumente standard
După cum sa menționat deja, atacatorul nu trebuie să fie de înaltă calificare. Este suficient abilități de script kiddies - pentru a găsi un instrument adecvat.
Si uita-te pentru o lungă perioadă de timp nu este necesar - tot ce ai nevoie este în cadru Metasploit.
Dar pentru utilizatorii nu este o veste bună: Meterpreter găsit aproape toate anti-virus. Dacă încărcați-l în exe-fișier și „feed-uri» VirusTotal, vom obține următorul rezultat:
După cum puteți vedea, anti-virus, marea majoritate, Meterpreterkak detectat programe malware. Acest lucru nu este surprinzător: ea are o mulțime de ani.
Are această victorie asupra unui script kiddies antivirus? Nu chiar.
Antivirus afară din joc
După 5 minute de căutări pe Google este la doar câteva soluții gata de a antivirus de by-pass. O privire mai atentă la un instrument numit Shellter (site).
Shellter folosit pentru a ascunde cod malitios în fișiere executabile Windows. Pur și simplu pune, Shellter «bat» la codul nativ aplicație pe 32 de biți a programului malware, care începe să curgă în mod automat la pornire. Caracteristici suplimentare pot fi remarcat Shellter modificări minime în structura programului executabil, utilizarea de „junk“ și codul de codificare „sarcină“. Toate acestea fac dificil de detectat de fișierul final de antivirus.
În modul automat Shellter necesită o intervenție minimă a utilizatorului: În continuare, în continuare, Next și gata. În primul rând, PE-selectat fișier aplicație, și apoi - sarcina utilă dorită (în care Meterpreter în Shellter construit deja precauție).
Ieșirea este un fișier executabil, care este ascuns în sarcina „util“ ca Meterpreter (sau orice alt cod).
Dacă creați un fișier cu Shellter contaminat și să încerce să-l verifica de către VirusTotal, vom vedea următoarele:
rata de detectie a scazut catastrofic. Aceasta înseamnă că majoritatea programelor antivirus sunt instalate pe stațiile de lucru și serverele nu definesc acest fișier ca fiind periculos! Pentru toate, inclusiv instalarea Shellter a luat puterea de 5 minute.
Astfel, deși semnătura troian a fost cunoscut de mai mulți ani (Metasploit și Meterpreter sunt de asamblare standard, Kali Linux), prin intermediul populare software anti-virus Shellter nu poate face nimic cu el despre asta.
Și, în practică?
Dar testul pentru VirusTotal fără testare „în câmpul“ nu este un indicator. Poate că atunci când troian este detectat de semne de comportament? Pentru a testa acest lucru, testați fișierul pe două antivirus populare: Eset (5.0.21.26) și Kaspersky Internet Securiy (17.0.0.611).
Un test rapid arată următoarele:
Astfel, funcționalitatea limită curs anti-virus Meterpreter, dar încă lasă un domeniu de aplicare largă pentru atacator.
Concluzii și recomandări
Testul din nou arată că anti-virus nu este, în sine, un panaceu. Mijloace de by-pass software anti-virus sunt foarte populare și sunt disponibile în mod liber. Desigur, după descărcarea fișierelor infectate pe VirusTotal, baze de date anti-virus va fi completat, precum și posibilitatea unor astfel de fonduri vor fi reduse. Dar nu ajută la protejarea împotriva atacurilor direcționate.
Acest lucru nu înseamnă că software-ul anti-virus inutil. Doar fără lucrările necesare cu eficiența acestuia poate fi compensată de personal.
Povestea sa terminat pentru ca utilizatorul să ușor „trolling“: pe desktop vi se va cere să corporative de formare privind securitatea informațiilor. În timpul instruirii, au fost încurajați să:
Pe aceasta, probabil, totul.