搜索
查看: 29384|回复: 501
收起左侧

[技术原创] (完结撒花+样本已公开) 如果用攻击企业的方法攻击个人安全软件会怎么样呢?

  [复制链接]
神龟Turmi
发表于 2020-5-7 06:14:39 | 显示全部楼层 |阅读模式
本帖最后由 神龟Turmi 于 2020-5-26 14:32 编辑

完结撒花~

样本已经公开在 https://bbs.kafan.cn/thread-2182903-1-1.html
懒人通道:



现在威胁的类型越来越多,特别是对于企业的攻击中,不只是单纯的PE EXE文件,甚至无文件攻击都是常见的方法。
AVC的enhanced real world test很好的体现了杀毒软件对新型攻击的防御能力,但是众所周知,很多非热门杀毒软件并不在AVC的测试对象中。
所以为何不自己来测呢?

在这次测试中,我准备了3种攻击方式:
1.HTML File-Less APT
该攻击方式用钓鱼的方式让被害公司访问一个url,会生成一个混淆后的HTA文件嵌入HTML中,内含一个Script,当访问该url时,Script会调用powershell执行恶意指令,全程不会下载任一PE文件到目标终端。该攻击方式使用Setoolkit框架构建。
2.Powershell File-Less APT
该攻击方式和1类似,但是更加简单粗暴,通常通过其他的漏洞入侵并且调用powershell直接执行恶意指令,同样不产生任何PE文件,通常用于攻击无人值守的内部服务器和NAS。该攻击方式使用Empire框架构建。
3.MSBuild With XML
该攻击方式通常用于绕过文件白名单,利用.Net Framework内置的MSBuild来执行一个内嵌了CSharp恶意代码的XML,唯一痕迹为一个混淆后的XML,会成为痕迹,但是相比另外两种攻击方式更难发现(相当于白利用)。该攻击方式使用Empire框架构建。

测试方式:
在装有默认设置的各种安全软件默认设置的win10 2019 LTSC系统中,使用PaleMoon浏览器/PowerShell/.Net 4.0 MSBuild成功执行恶意代码,并且在另一台Kali Linux设备上成功获得win10设备的屏幕截图和桌面上的一个PDF文档。无论在执行时或者截图时或者文件传输时中断均判定安全软件防御成功,反之防御失败。

一号选手:火绒

攻击方式1:火绒的引擎检测到了html中的恶意hta,拦截成功

攻击方式2:拦截失败

攻击方式3:拦截失败


二号选手:360

攻击方式1:360行为拦截powershell执行,拦截成功

攻击方式2:360行为拦截powershell执行,拦截成功

攻击方式3:拦截失败


三号选手:腾讯管家

攻击方式1:拦截失败

攻击方式2:拦截失败

攻击方式3:拦截失败


四号选手:瑞星

攻击方式1:拦截失败

攻击方式2:拦截失败

攻击方式3:拦截失败


五号选手:金山

攻击方式1:金山报疑似,拦截成功

攻击方式2:拦截失败

攻击方式3:拦截失败


六号选手:微点

攻击方式1:微点报可疑,拦截成功

攻击方式2:微点报可疑,拦截成功

攻击方式3:拦截失败


七号选手:智量

攻击方式1:拦截失败

攻击方式2:拦截失败

攻击方式3:拦截失败


八号选手:安天

攻击方式1:拦截失败

攻击方式2:安天报可疑,拦截成功

攻击方式3:拦截失败


九号选手:WindowsDefender

攻击方式1:WD深度学习杀HTA内的脚本,拦截成功

攻击方式2:WD AMSI杀,拦截成功

攻击方式3:白利用失败 编译时被秒杀,拦截成功


十号选手:趋势

攻击方式1:趋势报可疑,拦截成功

攻击方式2:趋势报可疑,拦截成功

攻击方式3:拦截失败


十一号选手:McAfee

攻击方式1:拦截失败

攻击方式2:拦截失败

攻击方式3:拦截失败


十二号选手:Norton

攻击方式1:无提示拦截HTA下载,拦截成功

攻击方式2:直接杀,拦截成功

攻击方式3:编译到内存后瞬间被杀,拦截成功


十三号选手:Avira

攻击方式1:拦截HTA下载,拦截成功

攻击方式2:拦截失败

攻击方式3:拦截失败



十四号选手:F-Secure

攻击方式1:DeepGuard杀,拦截成功

攻击方式2:DeepGuard杀,拦截成功

攻击方式3:拦截失败

十五号选手:Heimdal Thor

攻击方式1:拦截失败

攻击方式2:拦截失败

攻击方式3:拦截失败


十六号选手:VoodooShield

攻击方式1:拦截未知脚本,拦截成功

攻击方式2:拦截命令行,拦截成功

攻击方式3:Exploit杀,拦截成功


十七号选手:Sophos HitmanPro.Alert

攻击方式1:Exploit杀,拦截成功

攻击方式2:拦截失败

攻击方式3:拦截失败


十八号选手:Malwarebytes

攻击方式1:Exploit杀,拦截成功

攻击方式2:拦截失败

攻击方式3:拦截失败


十九号选手:Comodo

攻击方式1:拦截HTA下载,拦截成功

攻击方式2:入沙后脚本成功执行但未建立C2连接,拦截成功

攻击方式3:拦截失败


二十号选手:Avast

攻击方式1:拦截HTA下载,拦截成功

攻击方式2:拦截PowerShell执行,拦截成功

攻击方式3:编译后引擎报毒,拦截成功


二十一号选手:Bitdefender

攻击方式1:拦截HTA下载,拦截成功

攻击方式2:样本成功执行但通信时被云杀,拦截成功

攻击方式3:白利用之前就被特征杀,拦截成功



二十二号选手:卡巴斯基

攻击方式1:拦截HTA下载,拦截成功

攻击方式2:无提示但未成功建立C2连接(可能是防火墙拦截),拦截成功

攻击方式3:主防拦截MSBuild,拦截成功


二十三号选手:ESET

攻击方式1:拦截HTA下载,拦截成功

攻击方式2:特征杀,拦截成功

攻击方式3:编译后特征杀,拦截成功


二十四号选手:Dr.Web

攻击方式1:防火墙拦截联网,c2连接未成功建立,拦截成功

攻击方式2:防火墙拦截联网,c2连接未成功建立,拦截成功

攻击方式3:防火墙拦截联网,c2连接未成功建立,拦截成功
补充:没有开启防火墙时,拦截1,2和3miss


二十五号选手:GDATA

攻击方式1:拦截HTA下载,拦截成功

攻击方式2:拦截失败

攻击方式3:无提示拦截,拦截成功


二十六号选手:Emsisoft

攻击方式1:拦截HTA下载,拦截成功

攻击方式2:拦截失败

攻击方式3:拦截失败


二十七号选手:Panda

攻击方式1:拦截HTA下载,拦截成功

攻击方式2:拦截脚本执行,拦截成功

攻击方式3:拦截失败


二十八号选手:K7

攻击方式1:拦截失败

攻击方式2:拦截脚本执行,拦截成功

攻击方式3:拦截失败


二十九号选手:Webroot

攻击方式1:拦截失败

攻击方式2:拦截脚本执行,拦截成功

攻击方式3:AMSI杀,拦截成功


三十号选手:Vipre

攻击方式1:拦截HTA下载,拦截成功

攻击方式2:拦截失败

攻击方式3:拦截失败


三十一号选手:Cisco Immunet

攻击方式1:拦截失败

攻击方式2:拦截失败

攻击方式3:拦截失败


三十二号选手:Ahnlab

攻击方式1:AMSI杀,拦截成功

攻击方式2:AMSI杀,拦截成功

攻击方式3:拦截失败


三十三号选手:ZoneAlarm

攻击方式1:拦截HTA下载,拦截成功

攻击方式2:无提示拦截,拦截成功

攻击方式3:无提示拦截,拦截成功


三十四号选手:Inca Tachyon

攻击方式1:拦截失败

攻击方式2:拦截失败

攻击方式3:拦截失败


三十五号选手:Fortinet Forticlient

攻击方式1:拦截HTA下载,拦截成功

攻击方式2:拦截失败

攻击方式3:特征杀xml,拦截成功
补充:因为该软件默认设置并不包含AntiVirus模块,所以安装时更改了设置,并非默认设置。
更改内容:AntiVirus-开 APTProtection-开 Firewall-开


三十六号选手:Bullguard

攻击方式1:拦截HTA下载,拦截成功

攻击方式2:拦截失败

攻击方式3:特征杀xml,拦截成功


三十七号选手:Zemana

攻击方式1:拦截失败

攻击方式2:拦截失败

攻击方式3:拦截失败


三十八号选手:eScan

攻击方式1:拦截HTA下载,拦截成功

攻击方式2:拦截失败

攻击方式3:特征杀xml,拦截成功


三十九号选手:Zillya!

攻击方式1:拦截失败

攻击方式2:拦截失败

攻击方式3:拦截失败
补充:该软件防火墙自动允许了PowerShell和MSBuild联网,全程未让用户手动选择。


四十号选手:NanoAV

攻击方式1:拦截HTA下载,拦截成功

攻击方式2:拦截失败

攻击方式3:拦截失败


四十一号选手:SecureAPlus

攻击方式1:拦截HTA下载,拦截成功

攻击方式2:阻止脚本执行,拦截成功

攻击方式3:拦截失败





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 88原创 +1 分享 +3 魅力 +1 人气 +262 收起 理由
JAYSIR + 3 版区有你更精彩: )
54ss + 3 版区有你更精彩: )
qpzmggg999 + 3 版区有你更精彩: )
hr157 + 1 赞一个!
我就是XXX + 3 精品文章

查看全部评分

AlphaRabbit
发表于 2020-5-7 07:00:48 | 显示全部楼层
前排膜龟(x
不试试360么(x


评分

参与人数 1人气 +1 收起 理由
神龟Turmi + 1 已经测了

查看全部评分

lsgster
发表于 2020-5-7 07:09:08 | 显示全部楼层
HitmanPro.Alert这货怎么样,在考虑安装辅助杀软

评分

参与人数 1人气 +1 收起 理由
神龟Turmi + 1 等会儿会测的

查看全部评分

LSPD
发表于 2020-5-7 07:51:50 | 显示全部楼层
哦,龟龟
哦,这神奇的腾讯
神龟Turmi
 楼主| 发表于 2020-5-7 08:11:20 | 显示全部楼层
LSPD 发表于 2020-5-7 07:51
哦,龟龟
哦,这神奇的腾讯

现在又多了一个“神奇”的
而且某人刚和我说前段时间瑞星加强了APT的防御(从企业版搬了两个模块到v17)

评分

参与人数 1人气 +1 收起 理由
LSPD + 1 赞一个!

查看全部评分

西溪且留下
发表于 2020-5-7 08:19:28 | 显示全部楼层
本帖最后由 西溪且留下 于 2020-5-13 11:41 编辑

编辑了,喷子真多
pal家族
发表于 2020-5-7 08:23:34 | 显示全部楼层
建议也测测国外的 比如卡巴诺顿迈克菲BD
我猜绝对有翻车
蓝泽祈
发表于 2020-5-7 08:24:08 | 显示全部楼层
大佬都用Linux吗,果然管家是娱乐形。
神龟Turmi
 楼主| 发表于 2020-5-7 08:29:14 | 显示全部楼层
pal家族 发表于 2020-5-7 08:23
建议也测测国外的 比如卡巴诺顿迈克菲BD
我猜绝对有翻车

肯定会测 毕竟我发在了国外区 只是按顺序来。。。
神龟Turmi
 楼主| 发表于 2020-5-7 08:29:41 | 显示全部楼层
西溪且留下 发表于 2020-5-7 08:19
我很好奇,选手都是国产杀软,为什么这帖子和标题发到国外杀软区?

显然是都测 不要着急
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 晋ICP备20004298号-1 ) GMT+8, 2020-10-21 15:47 , Processed in 0.186542 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表