(完结撒花+样本已公开) 如果用攻击企业的方法攻击个人安全软件会怎么样呢？

神龟Turmi

智量官方 发表于 2020-5-7 12:05
感谢楼主测试，测试挺好但不符合现实情况

1. 那个浏览器不符合个人用户使用的浏览器范围也没有在智量的 ...

我参照的测试方法是AVC的enhanced real world test
在他们的测试中也出现了直接用u盘拷文件的情况，还有来自可信提供商让你点击的情况

这些先不论，本来这些测试都是在所有软件同等测试方法下测试的，我觉得并没有不公平，就像我在群里回复你的

智量官方

神龟Turmi 发表于 2020-5-7 12:08
我参照的测试方法是AVC的enhanced real world test
在他们的测试中也出现了直接用u盘拷文件的情况，还有 ...

可信提供商让你点击也会下载文件到受害者电脑上的，我们在测试PowerSploit+SharpShooter等情况下，即使点击钓鱼链接最后也会在受害者机器上下载hta或者js文件的，没有测试到浏览器会直接执行网页中的HTA代码.

测试公平不公平主要看方法是否符合实际? 都能直接在电脑上输入代码了。 干嘛不把用户的杀毒卸载了事.  或者装个驱动岂不更稳。现实中的APT有一个完整的攻击链，不可能直接就跑到用户电脑上输入代码了，我们想表达的是智量没有拦截并不代表在现实中拦 不了.

神龟Turmi

智量官方 发表于 2020-5-7 12:17
可信提供商让你点击也会下载文件到受害者电脑上的，我们在测试PowerSploit+SharpShooter等情况下，即使点 ...

首先我没说过这就是和实际的完全相同 就像avc也没有说 他们也是直接跳过Initial Access的。
其次从人入手的社工是完全可以做到买通可以能摸到机器的人来执行这个操作的，我作为IDC行业的从业者是遇到过竞争对手直接买通机房运维安插APT的，而不卸载杀毒软件的唯一理由是减缓你发现的速度。还是那句话 我这个测试只是搬运AVC的增强真实世界的测试方法，不是我自己想的，也没说过绝对符合实际

AlphaRabbit

智量官方 发表于 2020-5-7 12:17
可信提供商让你点击也会下载文件到受害者电脑上的，我们在测试PowerSploit+SharpShooter等情况下，即使点 ...

能摸到用户电脑就代表可以任意操作了？

我以前在学校做机房运维时，有些搞事学生以为能摸到教室电脑就可以任意操作。

结果他们卸载了联想硬盘保护系统（或者使其彻底残废后），被我们光速找到具体的人。

同理，企业环境下也没有人会在受害者系统站稳脚跟后，直接把人家的杀毒软件卸载了的。

这相当于在人家电脑上玩刺客信条。

AlphaRabbit

作为360痴，此时应该艾特一个人了。

@360主动防御

智量官方

神龟Turmi 发表于 2020-5-7 12:23
首先我没说过这就是和实际的完全相同 就像avc也没有说 他们也是直接跳过Initial Access的。
其次从人入 ...

看了一下AVC的测试, https://www.av-comparatives.org/ ... st-2019-enterprise/

在Testcases里:

1) This threat is introduced via Trusted Relationship. MSHTA launches an HTML application, which executes a PowerShell command via the Windows Scripting Host. This test case was created with Unicorn.
2) This threat is introduced via Trusted Relationship. A batch file with an encoded PowerShell command gets executed. The PowerShell process injects the payload into memory. This test case was created with Unicorn.
3) This threat is introduced via Trusted Relationship. A Microsoft Word document with a malicious macro starts a PowerShell process which loads the payload into memory. This test case was created with Unicorn.
........

也就是说，他们测试还是有载体投递PowerShell的, 没有看到像你说的直接打开PowerShell窗口输入命令行的测试方法。如果你看到了，把连接发我们看一下

智量官方

AlphaRabbit 发表于 2020-5-7 12:29
能摸到用户电脑就代表可以任意操作了？

我以前在学校做机房运维时，有些搞事学生以为能摸到教室电脑就 ...

卸载杀毒软件确实是一个极端假设。

但是已经在用户电脑中，确实有很多打开一个命令行输入PowerShell 更好的操作，首先这个方法都无法做到持久性。打开任务管理器看到个PowerShell确实有些刺眼，所以现在除了挖矿不太顾忌，其它情况下PowerShell一般是攻击的中间阶段，后面弄个白加黑或者驱动加入持久性。

现在智量确实是不会拦截用户在PowerShell窗口自己输入的命令，以后视情况可能会调整.,

神龟Turmi

智量官方 发表于 2020-5-7 12:38
看了一下AVC的测试, https://www.av-comparatives.org/tests/enhanced-real-world-test-2019-enterprise/ ...

拿第一个举例，用MSHTA投递的powershell，不就是HTA？第二个不是下发了包含ps的bat？
照你的说法测试的时候还要考虑让用户怎么来执行bat吗？
我刚才说的很清楚第二个样本是通过第一个样本下发执行的 用的是meterpreter执行的execute，并不是我用手打在powershell窗口里的
如果测试还要考虑如何让用户来执行，那么普通的样本怎么测试？没双击的情况下感染吗？

智量官方

测试了一下，智量2.09确实没拦，2.5之后的版本才能拦截，感谢楼主的测试

hdx2016

Black_lonely 发表于 2020-5-7 09:39
像是WannaRen勒索，不就是利用漏洞，利用powershell进行横向传播的吗

在家庭版和个人使用版本中未经过有效验证的签名的powershell脚本是无法执行的。除非是修改了执行策略或者使用企业版系统，包括教育版和长期技术支持版，这些版本本质上是给企业用的，默认策略就是允许本地powershell脚本执行