Ir para o conteúdo
  • Revista PROGRAMAR: Já está disponível a edição #60 da revista programar. Faz já o download aqui!

herakty

Deteção de payloads dinamicos do metasploit

Mensagens Recomendadas

herakty

logo.pnghax_small.jpg

metasplolit é tão brutal que usa um esquema, já usado pelos vírus mutantes, algo que eu demonstro aqui neste tópico, chamado vírus mutantes... escapar aos Antivírus e todos os  mecanismos de defesa com base em assinaturas... a técnica é gerar payloads dinâmicos e que mudam a assinatura.

Vírus Mutantes e suas técnicas

http://www.portugal-a-programar.pt/index.php?showtopic=2755

mas o que queria dizer é que suspeita-se que os fabricantes de AV´s estão a usar técnicas para detectar isto... foi hoje anunciada na lista apresento em seguida, que já foi identificado um caso desses com o Symantec Endpoint Protection v.11.0.5xxx.xxx

Mailing list do Metasploit

http://spool.metasploit.com/mailman/listinfo/framework

como podem ver a mensagem de retorno é que houve um exploit com sucesso mas algo quebrou a sessão ou não a deixou comunicar. neste caso suspeita-se que seja novas técnicas heuristicas (por comportamentos) que estejam a conseguir detectar os payloads do meta.. e como podem ver, a mensagem nesta situação pode significar mt coisa, pois o que diz é que houve um exploitation com sucesso mas por algum motivo (há vários como já falei e este é mais um deles)

já se falou em melhorar essa mensagem de retorno para se perceber melhor o que aconteceu... mas para já é assim e é a que nos é apresentada.

Exploit completed, but no session was created.

vou transcrever aqui o que foi apresentado nessa lista integralmente. não fui eu que detectei nem fui o autor do texto.

Hello,

I can confirm that the most recent windows/smb/psexec exploit gets detected by Symantec Endpoint Protection. It seems that Symantec isn't detecting the msf-generated executable, which is well randomized. Maybe the psexec exploitation process is heuristically easy to detect? I'm really not sure what could be setting it off, but I am a big fan of the psexec exploit and I would hate to see it lose it's "excellent" rating...

Here's a log of the detection, on the console side:

[*] Closing service handle...

[*] Opening service...

[*] Starting the service...

[*] Removing the service...

[*] Closing service handle...

[*] Deleting \aXecRCwF.exe...

[*] Exploit completed, but no session was created.

On the victim side, it pops up an AV warning for "Backdoor.Trojan" or something like that, with the executable's random filename. We're using Symantec Endpoint Protection v.11.0.5xxx.xxx and it's at r25 right now. Depending on endpoint protection for network security is really weak, but this detection could ruin my chances of convincing anyone to that end! I can provide a working copy of our Symantec setup if it would be helpful. Any help would be greatly appreciated!

a resposta de HDMoore, fundador e considerado um dos melhores especialistas de segurança do planeta. para mim o meta é a melhor coisa já feita no mundo da segurança... o nmap também é algo que me conquista o coração, mas o meta passou-o

This is the VT link for the service executable (service.exe) used for

psexec. It doesn't show Symantec' AV flagging it, so this may be

something specific to the Endpoint Protection product:

http://www.virustotal.com/analisis/dd8f7ce4bd7b56ebf5fc33c5e4791b89ecc9b4651a81ed6f898ce57d656360a3-1273885632

As long as we make our binaries public, the AV folks will continue to

signature them. You can try using the nmap script and see whether its

heuristics or static sigs, but your best bet is creating your own

replacement.

teckV

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
herakty
Just for reference, I think the AV was detecting metasploit's network traffic. Every payload I tried got detected, but meterpreter/reverse_https worked fine. Just thought I'd pass it along.

da mailing list

por tantos se juntarem estas técnicas de encriptação, como esta que apresento aqui e usarem um payload encriptado como este que é falado que é o meterpreter/reverse_https, nada detecta que é o metasploit  :) :smoke: :cheesygrin: :smoke:

Criar servidor SSH pelo meterpreter na máquina alvo... mt bom 

http://www.portugal-a-programar.pt/index.php?showtopic=35083

teckV

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites

Crie uma conta ou ligue-se para comentar

Só membros podem comentar

Criar nova conta

Registe para ter uma conta na nossa comunidade. É fácil!

Registar nova conta

Entra

Já tem conta? Inicie sessão aqui.

Entrar Agora

×

Aviso Sobre Cookies

Ao usar este site você aceita os nossos Termos de Uso e Política de Privacidade. Este site usa cookies para disponibilizar funcionalidades personalizadas. Para mais informações visite esta página.