be_a_saint Jul 8 2019 at 12:44

Обходим Windows Defender дешево и сердито: meterpreter сессия через python

3 min

24K

T.Hunter corporate blogInformation Security*Antivirus protection*

+33

Comments 13

Labunsky Jul 8 2019 at 16:15

Таким образом сессия запущена и Windows Defender не сработал, чего мы и добивались.

Так они с вирустоталом и не должны, можно даже не проверять. Для них же это просто интерпретатор с каким-то там байткодом, причем первый гарантировано чист, а второй они анализировать пока не умеют

be_a_saint Jul 8 2019 at 17:31

ну чтобы примерно это и показать — приложил скрины =)

Labunsky Jul 8 2019 at 17:53

Я прост к тому, что не вижу преимуществ перед каким-нибудь исключительно текстовым JS-скриптом для встроенного wscript.exe, кроме упрощения эксплуатации с помощью msf

erty Jul 8 2019 at 16:45

А где собственно обход защиты? Вы как исполняли бинарник с правами пользователя, так и исполняете.
Копируете бинаркник на компьютер жертвы и запускаете его там руками? Это не подходит под определения вируса от слова совсем.

С таким же успехом можно было просто telnet или ssh сервер запустить абсолютно легитимно.

be_a_saint Jul 8 2019 at 17:30

Но ведь руками мы запускаем в рамках этого кейса. Представьте что копирует один человек, а запускает совсем другой =) Ирл наша задача загрузить (например отправить по почте) и каким то манипуляциями запустить его (например соц инженерия).

erty Jul 9 2019 at 10:48

А можно просто заставить запустить преконфигурированный openssh (можно даже переименовать его и сконпилировать уже со своим ключём).
Этот метод внезапно обойдёт вообще все известные антивирусы.

be_a_saint Jul 9 2019 at 11:19

если Вам так удобнее — то пожалуйста =) Мое мнение что meter сильно удобнее как пэйлоад. А статья лишь показывает один из способов как его можно запустить на виндовой тачке (в ходе пентеста коих большинство)