如何使用Shellter绕过反病毒软件 二

iso60001  2242天前

在这篇文章的第一篇文章中,我们发恶意软件发送给了领导,现在我们会继续告诉你接下来发生了什么。现在让我们带入强尼的情境中。

“你好,请允许我自我介绍一下。我是约翰,强尼的老板。我知道我有很多敌人,其中肯定是我的竞争对手,甚至是我自己的员工。从物理身体上,没有人能碰我,我总是和我的保镖一起去。但从技术上讲,任何人都可以试图以窃取有价值的信息为目标来攻击我的团队。”

这就是为什么,除了公司的杀毒软件之外,我还决定在我的电脑上增加一个Sysmon & Wazuh的安全防护。

Sysmon是Windows系统的可定制监控工具,它可以记录系统活动的事件。

为了安装Sysmon,在下载之后,我打开了一个具有管理员权限的控制台并执行了以下命令:

C:\Users\Pepote\Downloads\Sysmon> Sysmon64.exe -i sysmonconfig.xm l -accepteula

强烈建议安按照配置文件装Sysmon,我只是用来记录我感兴趣的活动的事件,当然,它可以记录系统的所有合法活动。

另一方面,我在服务器上安装了Wazuh服务,它是HIDS Ossec的一个分支,是一个开源的、基于主机的免费入侵检测系统。然后,在这个服务器上,我添加了我的机器作为被监控的客户端:

22.png

接着我从我的电脑中提取了客户端密钥,因为我需要它在我的系统中配置Wazuh的客户端:

33.png

有了这个钥匙,我进入我的电脑,我下载了Wazuh客户端,安装了它,添加了我的Wazuh服务器的IP和我的计算机的客户端代码:

44.png

我按下“Save”,在执行代理之前,我转到“View”选项卡并单击“View Config”。这是我电脑的Wazuh配置文件,我在其中添加了以下代码行,以便客户端也将Sysmon生成的事件发送到服务器:

<localfile>
<location>Microsoft-Windows-Sysmon/Operational</location>
<log_format>eventchannel</log_format>
</localfile>

我保存了文件,然后从“Manage”选项卡单击“Start”。

为了验证代理是否正确安装,我可以查看代理本身的日志,点击“View>View logs”选项卡或在服务器上执行以下命令:

55.png

此时,我的计算机已经在向服务器发送事件,并根据已加载的规则生成警报。就我而言,我创建了一些额外的规则来检测Sysmon生成的事件中的可疑活动:

<rule id="184778" level="12">
<if_group>sysmon_event1</if_group>
<field name="sysmon.image">powershell.exe</field>
<field name="sysmon.commandline">-nop -w hidden</field>
<desc ription>Sysmon - Ejecucion de Powershell sospechosa 1</desc ription>
</rule>
<rule id="184779" level="12">
<if_group>sysmon_event3</if_group>
<field name="sysmon.image">powershell.exe</field>
<desc ription>Sysmon - Conexion de red detectada desde Powershell</desc ription>
</rule>

我忘了,Wazuh还允许我们使用ELK(Elasticsearch、Logstash和Kibana)在图形界面中生成的警报可视化。

因此,在结束一天的工作之前,我总是会进入网络界面,查看电脑上生成的警报,如果发现可能的入侵,我会迅速采取行动:


如果我没有看到任何高警戒,指的是12级或更高级别(在前面的图片中用绿色框突出显示),所以我可以无忧无虑地回家。

顺便说一下,我的WinRAR许可证已经过期了,所以我要请Johnny为我找一个类似但免费的软件。

原文链接:https://www.securityartwork.es/2018/11/05/evading-av-with-shellter-i-also-have-sysmon-and-wazuh-ii/

最新评论

昵称
邮箱
提交评论