Techniques pour l'évasion anti-virus
Quelles sont les bonnes techniques d'évasion anti-virus lors de l'utilisation de PS_EXEC? En tant que pentestester, je rencontre souvent des situations dans lesquelles vous ne pouvez pas, pour une utilisation d'une machine, car ils utilisent des logiciels antivirus sur leurs machines. Je parle surtout de binaires qui sont sauvés sur la machine de la victime avant d'être exécutées.
Quelle est une bonne technique pour générer de manière dynamique une charge utile de compteur de compteur afin que vous puissiez échapper à un logiciel AV.
Il y a stratégies pour améliorer les chances de l'évitement d'une cible AV. La stratégie globale est d'essayer de développer un porte-backdoor unique que possible. Rédaction de votre propre porte arrière à partir de zéro sera le plus réussi.
Une enveloppe protégée ou "cryptée" autour des logiciels malveillants est une stratégie commune. Cependant, les AV signalent parfois l'enveloppe et supposent que le contenu est un logiciel malveillant, ce qui arrive parfois avec [~ # ~ # ~ # ~] . À partir de 2015, Veil-Evasion est devenu mon enveloppe préférée utilisée pour échapper au logiciel anti-virus de signature.
En dehors de l'utilisation d'un cadre intéressant, je suis venu aimer voile . C'est un cadre qui aide à générer des charges utiles et des fichiers binaires spécialement conçus pour évader les logiciels antivirus. Il est disponible dans le référentiel Kali.
La plupart des AV semblent détecter le modèle EXE/PE "plutôt que la charge utile cryptée. Essayez de créer votre propre programme de base C qui exécute le coquillage à un moment donné. Vous pouvez écrire un code inutile tous les arrondis l'appel de la charge utile réel pour générer des programmes uniques à chaque fois. Essayez de combiner quelques rounds shikata_ga_nai (msfecnode) avec votre modèle EXE personnalisé.