如何使用Shellter绕过反病毒软件 二

在这篇文章的第一篇文章中，我们发恶意软件发送给了领导，现在我们会继续告诉你接下来发生了什么。现在让我们带入强尼的情境中。

“你好，请允许我自我介绍一下。我是约翰，强尼的老板。我知道我有很多敌人，其中肯定是我的竞争对手，甚至是我自己的员工。从物理身体上，没有人能碰我，我总是和我的保镖一起去。但从技术上讲，任何人都可以试图以窃取有价值的信息为目标来攻击我的团队。”

这就是为什么，除了公司的杀毒软件之外，我还决定在我的电脑上增加一个Sysmon & Wazuh的安全防护。

Sysmon是Windows系统的可定制监控工具，它可以记录系统活动的事件。

为了安装Sysmon，在下载之后，我打开了一个具有管理员权限的控制台并执行了以下命令:

C:\Users\Pepote\Downloads\Sysmon> Sysmon64.exe -i sysmonconfig.xm l -accepteula

强烈建议安按照配置文件装Sysmon，我只是用来记录我感兴趣的活动的事件，当然，它可以记录系统的所有合法活动。

另一方面，我在服务器上安装了Wazuh服务，它是HIDS Ossec的一个分支，是一个开源的、基于主机的免费入侵检测系统。然后，在这个服务器上，我添加了我的机器作为被监控的客户端:

接着我从我的电脑中提取了客户端密钥，因为我需要它在我的系统中配置Wazuh的客户端:

有了这个钥匙，我进入我的电脑，我下载了Wazuh客户端，安装了它，添加了我的Wazuh服务器的IP和我的计算机的客户端代码:

我按下“Save”，在执行代理之前，我转到“View”选项卡并单击“View Config”。这是我电脑的Wazuh配置文件，我在其中添加了以下代码行，以便客户端也将Sysmon生成的事件发送到服务器:

<localfile>
<location>Microsoft-Windows-Sysmon/Operational</location>
<log_format>eventchannel</log_format>
</localfile>

我保存了文件，然后从“Manage”选项卡单击“Start”。

为了验证代理是否正确安装，我可以查看代理本身的日志，点击“View>View logs”选项卡或在服务器上执行以下命令:

此时，我的计算机已经在向服务器发送事件，并根据已加载的规则生成警报。就我而言，我创建了一些额外的规则来检测Sysmon生成的事件中的可疑活动:

<rule id="184778" level="12">
<if_group>sysmon_event1</if_group>
<field name="sysmon.image">powershell.exe</field>
<field name="sysmon.commandline">-nop -w hidden</field>
<desc ription>Sysmon - Ejecucion de Powershell sospechosa 1</desc ription>
</rule>
<rule id="184779" level="12">
<if_group>sysmon_event3</if_group>
<field name="sysmon.image">powershell.exe</field>
<desc ription>Sysmon - Conexion de red detectada desde Powershell</desc ription>
</rule>

我忘了，Wazuh还允许我们使用ELK(Elasticsearch、Logstash和Kibana)在图形界面中生成的警报可视化。

因此，在结束一天的工作之前，我总是会进入网络界面，查看电脑上生成的警报，如果发现可能的入侵，我会迅速采取行动:

如果我没有看到任何高警戒，指的是12级或更高级别(在前面的图片中用绿色框突出显示)，所以我可以无忧无虑地回家。

顺便说一下，我的WinRAR许可证已经过期了，所以我要请Johnny为我找一个类似但免费的软件。

原文链接：https://www.securityartwork.es/2018/11/05/evading-av-with-shellter-i-also-have-sysmon-and-wazuh-ii/