【毒组x帮帮团】如果用攻击企业的方法攻击个人安全软件会怎么样呢？ 第三期

神龟Turmi

完结撒花！
省流只看结果版：https://docs.qq.com/sheet/DRk55bnFCU2ZyakJl?tab=BB08J2
样本（无害化）：https://bbs.kafan.cn/thread-2250638-1-1.html


在2020年我们曾经做过一期这样的测试https://bbs.kafan.cn/thread-2181276-1-1.html
当时我们使用Empire的框架测试了主流的安全软件，有部分安全软件能够很好的防御到，而有部分安全软件惨不忍睹
在接近三年之后的今天，我们打算再来一次，这次我们使用更先进且流行的CobaltStrike框架
作为对照组，我们找来了几个企业级的安全软件，这些安全软件使用调教过的更高安全设置。作为实验组，我们使用市面上几乎全部的个人安全软件来测试，并且完全保持默认状态。
我们的测试将做以下操作：
1.下载payload到本地
2.启动payload（可能有加载器）
3.样本建立c2连接（目标服务器为公网云服务器）
4.靶机上线
5.控制端下发命令截图
6.控制端下发命令获取c盘的一个txt文件（模拟窃取数据）
安全软件若在下列过程的任意一步以任意方式（包括静态扫描/启发/防火墙拦截c2等）阻止，则视为防御成功，只有在全部步骤执行完毕后依然毫无动作则视为防御失败

本次测试的参与者：
卡饭病毒测试组：@神龟Turmi
卡饭帮帮团：@隔山打空气 @呵呵大神001
无团队成员：@東雪蓮Official

本次我们为了测试准备了10个样本，均使用CobaltStrike框架：
样本1：CobaltStrike HTA（VBA） Payload，执行后会调用VBA运行Payload
样本2：CobaltStrike Powershell Payload，使用自带钓鱼功能构建，无文件落地
样本3：CobaltStrike Bitsadmin Payload，使用自带钓鱼功能构建，运行后使用Bitsadmin分段下载恶意Payload并组合成exe
样本4：CobaltStrike StageLess EXE，作为最基础的CS后门形式，考察安全软件的特征强度
样本5：在样本4的EXE基础上加了Themida壳，考察安全软件的检测能力是否会被壳影响
样本6：在CobaltStrike C语言 Payload的基础上由NIM构建，使用APC注入notepad执行Payload
样本7：在CobaltStrike C语言 Payload的基础上由NIM构建，使用3DES算法加密了Payload
样本8：在CobaltStrike Powershell Payload的基础上由Veil生成的Go语言加载器加载Payload
样本9：在CobaltStrike Powershell Payload的基础上由Veil生成的Python语言加载器加载Payload，使用DES加密
样本10：在CobaltStrike C语言 Payload的基础上经过TideSec提供的Go语言加载器加载Payload，使用异或加密

一号选手：火绒

样本1：防御成功

样本2：防御失败

样本3：防御成功

样本4：防御成功

样本5：防御成功

样本6：防御成功

样本7：防御成功

样本8：防御成功

样本9：防御成功

样本10：防御成功

二号选手：腾讯

样本1：防御成功

样本2：防御失败

样本3：防御成功

样本4：防御成功

样本5：防御失败

样本6：防御失败

样本7：防御失败

样本8：防御成功

样本9：防御失败

样本10：防御失败

三号选手：360

样本1：无提示 C2未连接成功

样本2：无提示 C2未连接成功

样本3：防御成功

样本4：防御成功

样本5：防御失败

样本6：防御成功

样本7：防御成功

样本8：防御失败

样本9：防御失败

样本10：防御成功

四号选手：智量

样本1：无提示 C2未连接成功

样本2：防御成功

样本3：防御成功

样本4：防御成功

样本5：防御成功

样本6：防御成功

样本7：防御成功

样本8：防御成功

样本9：防御成功

样本10：防御成功

五号选手：金山

样本1：无提示 C2未连接成功

样本2：防御成功

样本3：防御成功

样本4：防御失败

样本5：防御失败

样本6：防御失败

样本7：防御失败

样本8：防御失败

样本9：防御成功

样本10：防御失败

六号选手：奇安信

样本1：防御成功

样本2：防御成功

样本3：防御成功

样本4：防御成功

样本5：防御成功

样本6：防御成功

样本7：防御成功

样本8：防御成功

样本9：防御成功

样本10：防御成功

七号选手：瑞星

样本1：无提示 C2未连接成功

样本2：防御失败

样本3：防御成功

样本4：防御成功

样本5：防御失败

样本6：防御失败

样本7：防御失败

样本8：防御成功

样本9：防御失败

样本10：防御失败

八号选手：HitmanPro.Alart（By:呵呵）

样本1：防御成功

样本2：防御成功

样本3：防御成功

样本4：防御成功

样本5：防御成功

样本6：防御成功

样本7：防御成功

样本8：防御成功

样本9：防御成功

样本10：防御成功

九号选手：Microsoft Defender

样本1：防御成功

样本2：防御失败

样本3：防御成功

样本4：防御成功

样本5：防御成功

样本6：防御失败

样本7：防御失败

样本8：防御成功

样本9：防御成功

样本10：防御失败

十号选手：Avast

样本1：防御成功

样本2：防御成功

样本3：无提示 C2未连接

样本4：防御成功

样本5：防御成功

样本6：防御成功

样本7：防御成功

样本8：防御成功

样本9：防御成功

样本10：防御成功

十一号选手：Heimdal（BY：呵呵）

样本1：防御失败

样本2：防御失败

样本3：防御成功

样本4：防御成功

样本5：防御成功

样本6：防御成功

样本7：防御成功

样本8：防御成功

样本9：防御成功

样本10：防御成功

十二号选手：F-Secure（BY：东雪莲）

样本1：防御成功

样本2：防御成功

样本3：防御成功

样本4：防御成功

样本5：防御成功

样本6：防御成功

样本7：防御成功

样本8：防御成功

样本9：防御成功

样本10：防御成功

截止12号选手，我们更换了C&C服务器，重新生成了全部的样本

十三号选手：Norton

样本1：防御成功

样本2：防御成功

样本3：防御成功

样本4：防御成功

样本5：防御成功

样本6：防御成功

样本7：防御成功

样本8：防御成功

样本9：防御成功

样本10：防御成功

十四号选手：Ikarus（BY：呵呵）

样本1：防御成功

样本2：防御失败

样本3：防御成功

样本14：防御成功

样本5：防御失败

样本6：防御成功

样本7：防御成功

样本8：防御成功

样本9：防御失败

样本10：防御成功

十五号选手：Kaspersky

样本1：防御成功

样本2：防御成功

样本3：无提示 下载失败

样本4：防御成功

样本5：防御成功

样本6：防御成功

样本7：防御成功

样本8：防御成功

样本9：防御成功

样本10：防御成功

十六号选手：Avira（BY：东雪莲）

样本1：防御成功

样本2：防御成功

样本3：防御成功

样本4-10：防御成功（解压杀）

十七号选手：Bitdefender

样本1：防御成功

样本2：防御成功

样本3：防御成功

样本4：防御成功

样本5：防御成功

样本6：防御成功

样本7：防御成功

样本8：防御成功

样本9：防御成功

样本10：防御成功

十八号选手：Ahnlab（BY：东雪莲）

样本4/5/6/7/8：防御成功（解压杀）

样本1：防御成功

样本2：防御成功

样本9：防御成功

样本10：防御成功

十九号选手：McAfee

样本1：防御成功

样本2：防御成功

样本3：防御成功

样本4：防御成功

样本5：防御成功

样本6：防御失败

样本7：防御失败

样本8：防御成功

样本9：防御成功

样本10：防御失败

二十号选手：Malwarebytes（BY：呵呵）

样本1：防御成功

样本2：防御失败

样本3：无提示 c2未连接

样本4：防御成功

样本5：防御成功

样本6：防御成功

样本7：防御成功

样本8：防御成功

样本9：防御成功

样本10：防御成功

二十一号选手：Panda

样本1：防御失败

样本2：防御失败

样本3：防御成功

样本4：防御失败

样本5：防御失败

样本6：防御失败

样本7：防御失败

样本8：防御失败

样本9：防御失败

样本10：防御失败

二十二号选手：TrendMicro

样本1：防御成功

样本2：防御成功

样本3：防御成功

样本4：防御成功

样本5：防御成功

样本6：防御失败

样本7：防御成功

样本8：防御成功

样本9：防御成功

样本10：防御成功

二十三号选手：ESET

样本1：防御成功

样本2：防御成功

样本3：无提示 C2未连接

样本4：防御成功

样本5：防御成功

样本6：防御成功

样本7：防御成功

样本8：防御成功

样本9：防御成功

样本10：防御成功

二十四号选手：QuickHeal

样本1：防御成功

样本2：防御失败

样本3：防御成功

样本4：防御成功

样本5：防御失败

样本6：防御失败

样本7：防御失败

样本8：防御失败

样本9：防御失败

样本10：防御失败

二十五号选手：Webroot

样本1：防御失败

样本2：防御失败

样本3：防御成功

样本4：防御成功

样本5：防御失败

样本6：防御失败

样本7：防御失败

样本8：防御成功

样本9：防御失败

样本10：防御失败

二十六号选手：ZoneAlarm

样本1：防御成功

样本2：防御失败

样本3：防御成功

样本4：防御成功

样本5：防御成功

样本6：防御成功

样本7：防御成功

样本8：防御成功

样本9：防御成功

样本10：防御失败

二十七号选手：Acronis

样本1：防御成功

样本2：防御成功

样本3：防御成功

样本4：防御成功

样本5：防御成功

样本6：防御成功

样本7：防御成功

样本8：防御成功

样本9：防御成功

样本10：防御成功

二十八号选手：Immunet

样本1：防御失败

样本2：防御失败

样本3：防御失败

样本4：防御失败

样本5：防御失败

样本6：防御失败

样本7：防御失败

样本8：防御失败

样本9：防御失败

样本10：防御失败

二十九号选手：Vibranium

样本1：防御失败

样本2：防御失败

样本3：防御成功

样本4：防御成功

样本5：防御成功

样本6：防御成功

样本7：防御成功

样本8：防御成功

样本9：防御成功

样本10：防御失败

三十号选手：DrWeb

样本1：防御成功

样本2：防御成功

样本3：防御成功

样本4：防御成功

样本5：防御成功

样本6：防御成功

样本7：防御成功

样本8：防御成功

样本9：防御成功

样本10：防御成功

三十一号选手：K7

样本1：防御成功

样本2：防御失败

样本3：防御成功

样本4：防御成功

样本5：防御成功

样本6：防御成功

样本7：无提示 C2未连接

样本8：防御成功

样本9：防御成功

样本10：无提示 C2未连接

三十二号选手：GDATA

样本1：防御成功

样本2：防御成功

样本3：防御成功

样本4：防御成功

样本5：防御成功

样本6：防御成功

样本7：防御成功

样本8：防御成功

样本9：防御成功

样本10：防御成功

三十三号选手：Emsisoft

样本1：防御成功

样本2：防御失败

样本3：防御成功

样本4：防御成功

样本5：防御成功

样本6：防御成功

样本7：防御成功

样本8：防御成功

样本9：防御成功

样本10：防御成功

三十四号选手：VIPRE

样本1：无提示 C2未连接

样本2：防御成功

样本3：防御成功

样本4：防御成功

样本5：防御失败

样本6：防御成功

样本7：防御成功

样本8：防御成功

样本9：防御成功

样本10：防御成功

三十五号选手：TotalDefense

样本1：防御成功

样本2：防御成功

样本3：防御成功

样本4：防御成功

样本5：防御失败

样本6：防御成功

样本7：防御成功

样本8：防御成功

样本9：防御成功

样本10：防御成功

三十六号选手：eScan

样本1：防御成功

样本2：防御失败

样本3：防御成功

样本4：防御成功

样本5：防御成功

样本6：防御成功

样本7：防御成功

样本8：防御成功

样本9：防御成功

样本10：防御成功

三十七号选手：Adaware

样本1：防御成功

样本2：防御失败

样本3：防御成功

样本4：防御成功

样本5：防御失败

样本6：防御成功

样本7：防御成功

样本8：防御成功

样本9：防御成功

样本10：防御成功

三十八号选手：Comodo（注：无脑入沙是否算有效检测请自行判断）

样本1：？

样本2：防御失败

样本3：？

样本4：？

样本5：？

样本6：？

样本7：？

样本8：？

样本9：？

样本10：？

三十九号选手：Watchdog

样本1：防御失败

样本2：防御失败

样本3：防御失败

样本4：防御失败

样本5：防御失败

样本6：防御失败

样本7：防御失败

样本8：防御失败

样本9：防御失败

样本10：防御失败

四十号选手：Zemana

样本1：防御失败

样本2：防御失败

样本3：防御失败

样本4：防御失败

样本5：防御成功

样本6：防御失败

样本7：防御失败

样本8：防御失败

样本9：防御失败

样本10：防御失败

四十一号选手：Zillya

样本1：防御失败

样本2：防御失败

样本3：防御失败

样本4：防御失败

样本5：防御失败

样本6：防御失败

样本7：防御失败

样本8：防御失败

样本9：防御失败

样本10：防御失败

四十二号选手：Protegent

样本1：防御失败

样本2：防御失败

样本3：防御成功

样本4：防御失败

样本5：防御失败

样本6：防御失败

样本7：防御失败

样本8：防御失败

样本9：防御失败

样本10：防御失败

四十三号选手：Bkav（注：该软件免费版和付费版差别较大且付费版无法试用）

样本1：防御失败

样本2：防御失败

样本3：防御失败

样本4：防御失败

样本5：防御失败

样本6：防御失败

样本7：防御失败

样本8：防御失败

样本9：防御失败

样本10：防御失败

四十四号选手：MaxSecure

样本1：防御失败

样本2：防御失败

样本3：无提示 C2未连接

样本4：防御成功

样本5：防御成功

样本6：防御成功

样本7：防御成功

样本8：防御成功

样本9：防御成功

样本10：防御失败

四十五号选手：CatchPulse（注：该软件测试过程中出现了极为严重的误报情况）

样本1：防御成功

样本2：防御成功

样本3：防御成功

样本4：防御成功

样本5：防御成功

样本6：防御成功

样本7：防御成功

样本8：防御成功

样本9：防御成功

样本10：防御成功

761773275

奇安信這怕是把企業產品下發了

神龟Turmi

761773275 发表于 2023-1-19 10:02
奇安信這怕是把企業產品下發了

这难道不是好事吗 我就想每家都把企业版完整下放给个人版才做这种测试

RMLUG

金山毒霸不是新增了无文件攻击防护和内存防护吗？怎么就防御了这么点

onedrive

前排占位！话说有国外的安软吗！

ccddqq

onedrive 发表于 2023-1-19 11:15
前排占位！话说有国外的安软吗！

龟龟安排了国外的企业版杀软

Eunismal

onedrive 发表于 2023-1-19 11:15
前排占位！话说有国外的安软吗！

HitmanPro就是国外的

微信

Eunismal 发表于 2023-1-19 11:23
HitmanPro就是国外的

我的意思是想礼貌的问一下会测卡巴诺顿这种的吗（如果精力够的话）

東雪蓮Official

占位

神龟Turmi

微信 发表于 2023-1-19 11:27
我的意思是想礼貌的问一下会测卡巴诺顿这种的吗（如果精力够的话）

全都会有 这些拉黑快的可能会放到明天（我今晚重新生成一遍全部payload）