如何使用Shellter绕过反病毒软件 三

在前两篇文章中，我们讲了强尼的意图和约翰的安全措施，在这篇文章中，我们将告诉你结局，并让你了解故事中的两个角色。

强尼:

“我在这里等待我的老板执行我给他发送的“程序”，我怀着特殊的感情等待着。”

经过长时间的等待，至少对我来说，我的老板运行了这个应用程序，我用me tasploit接受到了他的电脑返回的一个shell。

好吧!我已进入shell。

“我去看看他电脑有什么……”

另一方面，让我们看看老板在做什么。

约翰:

“好像强尼的工作计划进行得很顺利。现在我想起来了，他是一个很好的员工，我从来没有感谢过他。我要关掉电脑，今天就这样了，我要感谢强尼为公司所做的一切，公司会给他加薪的。但是，就像我以前在关机前做的那样，我会对Wazuh警报进行查看评估。”

但这是什么?!四级12级警报?让我们看看，让我们看看这里发生了什么…

从执行Johnny发送给我的程序，Powershell命令已经执行。后来，我的系统(192.168.37.138)通过端口4444打开了IP地址192.168.37.148的连接。

我查看了CMDB(配置管理数据库)，并验证了这个IP地址与Johnny的计算机的IP地址相对应。

我还不想妄下结论，可能是本来就是恶意的可执行文件被上传到7-Zip网站。我访问官网，下载Johnny给我的版本，并计算这两个可执行文件的MD5。我发现，这两个文件的MD5是不一样的。

我开始越来越确信我的猜想把握，但首先，我将把可执行文件上传到Virustotal去检查它是否已经在以前被上传检测过了。bingo!好像是在强尼发给我之前，就有人上传过一次。

我访问了代理记录，我看到是强尼向Virustotal提出了请求……

原文链接：https://www.securityartwork.es/2018/11/06/evading-av-with-shellter-i-also-have-sysmon-wazuh-iii-game-over/