9.1 KiB
Antivirus (AV) Bypass
Μάθετε το χάκινγκ στο AWS από το μηδέν μέχρι τον ήρωα με το htARTE (Ειδικός Ερυθρού Συνεργείου AWS του HackTricks)!
Άλλοι τρόποι υποστήριξης του HackTricks:
- Αν θέλετε να δείτε την εταιρεία σας διαφημισμένη στο HackTricks ή να κατεβάσετε το HackTricks σε μορφή PDF ελέγξτε τα ΣΧΕΔΙΑ ΣΥΝΔΡΟΜΗΣ!
- Αποκτήστε το επίσημο PEASS & HackTricks swag
- Ανακαλύψτε την Οικογένεια PEASS, τη συλλογή μας από αποκλειστικά NFTs
- Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα τηλεγραφήματος ή ακολουθήστε μας στο Twitter 🐦 @carlospolopm.
- Μοιραστείτε τα χάκινγκ κόλπα σας υποβάλλοντας PRs στα HackTricks και HackTricks Cloud αποθετήρια του github.
Αυτή η σελίδα έγραψε από @m2rc_p!
Μεθοδολογία Αποφυγής Αντιικών (AV)
Προς το παρόν, τα AV χρησιμοποιούν διαφορετικές μεθόδους για τον έλεγχο εάν ένα αρχείο είναι κακόβουλο ή όχι, στατική ανίχνευση, δυναμική ανάλυση και για τα πιο προηγμένα EDRs, αναλυτική ανάλυση.
Στατική ανίχνευση
Η στατική ανίχνευση επιτυγχάνεται με το να σημαίνει γνωστές κακόβουλες συμβολοσειρές ή πίνακες bytes σε ένα δυαδικό αρχείο ή σενάριο, και επίσης εξάγοντας πληροφορίες από το ίδιο το αρχείο (π.χ. περιγραφή αρχείου, όνομα εταιρείας, ψηφιακές υπογραφές, εικονίδιο, checksum, κλπ.). Αυτό σημαίνει ότι χρησιμοποιώντας γνωστά δημόσια εργαλεία μπορεί να σας πιάσουν πιο εύκολα, καθώς πιθανόν έχουν αναλυθεί και έχουν σημανθεί ως κακόβουλα. Υπάρχουν μερικοί τρόποι για να παρακάμψετε αυτού του είδους την ανίχνευση:
- Κρυπτογράφηση
Εάν κρυπτογραφήσετε το δυαδικό, δεν θα υπάρχει τρόπος για το AV να ανιχνεύσει το πρόγραμμά σας, αλλά θα χρειαστείτε κάποιο είδος φορτωτή για να αποκρυπτογραφήσετε και να εκτελέσετε το πρόγραμμα στη μνήμη.
- Απόκρυψη
Μερικές φορές ό,τι χρειάζεστε να κάνετε είναι να αλλάξετε μερικές συμβολοσειρές στο δυαδικό σας ή στο σενάριό σας για να το περάσετε από το AV, αλλά αυτό μπορεί να είναι μια χρονοβόρα εργασία ανάλογα με το τι προσπαθείτε να αποκρύψετε.
- Προσαρμοσμένα εργαλεία
Εάν αναπτύξετε τα δικά σας εργαλεία, δεν θα υπάρχουν γνωστές κακές υπογραφές, αλλά αυτό απαιτεί πολύ χρόνο και προσπάθεια.
{% hint style="info" %} Ένας καλός τρόπος για έλεγχο ενάντια στη στατική ανίχνευση του Windows Defender είναι το ThreatCheck. Βασικά χωρίζει το αρχείο σε πολλά τμήματα και στη συνέχεια ζητά από το Defender να σαρώσει κάθε ένα ξεχωριστά, με αυτόν τον τρόπο, μπορεί να σας πει ακριβώς ποιες είναι οι σημαινόμενες συμβολοσειρές ή bytes στο δυαδικό σας. {% endhint %}
Συνιστώ ιδιαίτερα να ελέγξετε αυτήν την λίστα αναπαραγωγής στο YouTube για πρακτική Αποφυγή Αντιικών.
Δυναμική ανάλυση
Η δυναμική ανάλυση είναι όταν το AV εκτελεί το δυαδικό σας σε ένα αμμουδιάκι και παρακολουθεί για κακόβουλη δραστηριότητα (π.χ. προσπαθεί να αποκρυπτογραφήσει και να διαβάσει τους κωδικούς πρόσβασης του περιηγητή σας, να εκτελέσει ένα minidump στο LSASS, κλπ.). Αυτό το μέρος μπορεί να είναι λίγο πιο δύσκολο να δουλέψει, αλλά εδώ είναι μερικά πράγματα που μπορείτε να κάνετε για να αποφύγετε τα αμμουδιάκια.
- Υπνος πριν την εκτέλεση Ανάλογα με το πώς υλοποιείται, μπορεί να είναι ένας μεγάλος τρόπος παράκαμψης της δυναμικής ανάλυσης του AV. Τα AV έχουν πολύ λίγο χρόνο για να σαρώσουν αρχεία ώστε να μην διακόψουν τη ροή εργασίας του χρήστη, οπότε η χρήση μεγάλων χρονικών διαστημάτων ύπνου μπορεί να διαταράξει την ανάλυση των δυαδικών. Το πρόβλημα είναι ότι πολλά αμμουδιάκια των AV μπορεί απλά να παραλείψουν τον ύπνο ανάλογα με το πώς υλοποιείται.
- Έλεγχος πόρων του υπολογιστή Συνήθως τα Αμμουδιάκια έχουν πολύ λίγους πόρους για να δουλέψουν (π.χ. < 2GB RAM), διαφορετικά θα μπορούσαν να επιβραδύνουν τον υπολογιστή του χρήστη. Μπορείτε επίσης να γίνετε πολύ δημιουργικοί εδώ, για παράδειγμα ελέγχοντας τη θερμοκρασία της CPU ή ακόμη και τις ταχύτητες του ανεμιστήρα, όχι όλα θα είναι υλοποιημένα στο αμμουδιάκι.
- Έλεγχοι συγκεκριμένου υπολογιστή Εάν θέλετε να στοχεύσετε ένα χρήστη του οποίου ο υπολογιστής είναι ενταγμένος στον τομέα "contoso.local", μπορείτε να ελέγξετε τον τομέα του υπολογιστή για να δείτε αν ταιριάζει με αυτόν που έχετε καθορίσει, αν δεν ταιριάζει, μπορείτε να κάνετε το πρόγραμμά σας να τερματίσει.
Αποδεικνύεται ότι το όνομα υπολογιστή του Microsoft Defender Sandbox είναι HAL9TH, οπότε, μπορείτε να ελέγξετε το όνομα του υπολογιστή στο malware σας πριν την εκρηξη, αν το όνομα ταιριάζει με το HAL9TH, σημαίνει ότι βρίσκεστε μέσα στο αμμουδιάκι του Defender, οπότε μπορείτε να κάνετε το πρόγραμμά σας να τερματίσει.
Μερικές άλλες πολύ καλές συμβουλές από τον @mgeeky για την αντιμετώπιση των Αμμουδιάκιων