如何使用Shellter绕过反病毒软件 三

iso60001  11天前

在前两篇文章中,我们讲了强尼的意图和约翰的安全措施,在这篇文章中,我们将告诉你结局,并让你了解故事中的两个角色。

强尼:

“我在这里等待我的老板执行我给他发送的“程序”,我怀着特殊的感情等待着。”

经过长时间的等待,至少对我来说,我的老板运行了这个应用程序,我用me tasploit接受到了他的电脑返回的一个shell。

22.png

好吧!我已进入shell。

33.png

“我去看看他电脑有什么……”

另一方面,让我们看看老板在做什么。

约翰:

“好像强尼的工作计划进行得很顺利。现在我想起来了,他是一个很好的员工,我从来没有感谢过他。我要关掉电脑,今天就这样了,我要感谢强尼为公司所做的一切,公司会给他加薪的。但是,就像我以前在关机前做的那样,我会对Wazuh警报进行查看评估。”

但这是什么?!四级12级警报?让我们看看,让我们看看这里发生了什么…

44.png

从执行Johnny发送给我的程序,Powershell命令已经执行。后来,我的系统(192.168.37.138)通过端口4444打开了IP地址192.168.37.148的连接。

我查看了CMDB(配置管理数据库),并验证了这个IP地址与Johnny的计算机的IP地址相对应。

我还不想妄下结论,可能是本来就是恶意的可执行文件被上传到7-Zip网站。我访问官网,下载Johnny给我的版本,并计算这两个可执行文件的MD5。我发现,这两个文件的MD5是不一样的。

我开始越来越确信我的猜想把握,但首先,我将把可执行文件上传到Virustotal去检查它是否已经在以前被上传检测过了。bingo!好像是在强尼发给我之前,就有人上传过一次。

我访问了代理记录,我看到是强尼向Virustotal提出了请求……

55.png

原文链接:https://www.securityartwork.es/2018/11/06/evading-av-with-shellter-i-also-have-sysmon-wazuh-iii-game-over/

最新评论

昵称
邮箱
提交评论

友情链接:FOFA FOEYE BCSEC BAIMAOHUI 安全客 i春秋

nosec.org All Rights Reserved 京ICP备15042518号