查看: 10406|回复: 104
收起左侧

[技术原创] 【毒组x帮帮团】如果用攻击企业的方法攻击个人安全软件会怎么样呢? 第三期

  [复制链接]
神龟Turmi
发表于 2023-1-18 16:08:31 | 显示全部楼层 |阅读模式
本帖最后由 神龟Turmi 于 2023-1-23 02:27 编辑

完结撒花!
省流只看结果版:https://docs.qq.com/sheet/DRk55bnFCU2ZyakJl?tab=BB08J2
样本(无害化):https://bbs.kafan.cn/thread-2250638-1-1.html


在2020年我们曾经做过一期这样的测试https://bbs.kafan.cn/thread-2181276-1-1.html
当时我们使用Empire的框架测试了主流的安全软件,有部分安全软件能够很好的防御到,而有部分安全软件惨不忍睹
在接近三年之后的今天,我们打算再来一次,这次我们使用更先进且流行的CobaltStrike框架
作为对照组,我们找来了几个企业级的安全软件,这些安全软件使用调教过的更高安全设置。作为实验组,我们使用市面上几乎全部的个人安全软件来测试,并且完全保持默认状态。
我们的测试将做以下操作:
1.下载payload到本地
2.启动payload(可能有加载器)
3.样本建立c2连接(目标服务器为公网云服务器)
4.靶机上线
5.控制端下发命令截图
6.控制端下发命令获取c盘的一个txt文件(模拟窃取数据)
安全软件若在下列过程的任意一步以任意方式(包括静态扫描/启发/防火墙拦截c2等)阻止,则视为防御成功,只有在全部步骤执行完毕后依然毫无动作则视为防御失败

本次测试的参与者:
卡饭病毒测试组:@神龟Turmi
卡饭帮帮团:@隔山打空气 @呵呵大神001
无团队成员:@東雪蓮Official

本次我们为了测试准备了10个样本,均使用CobaltStrike框架:
样本1:CobaltStrike HTA(VBA) Payload,执行后会调用VBA运行Payload
样本2:CobaltStrike Powershell Payload,使用自带钓鱼功能构建,无文件落地
样本3:CobaltStrike Bitsadmin Payload,使用自带钓鱼功能构建,运行后使用Bitsadmin分段下载恶意Payload并组合成exe
样本4:CobaltStrike StageLess EXE,作为最基础的CS后门形式,考察安全软件的特征强度
样本5:在样本4的EXE基础上加了Themida壳,考察安全软件的检测能力是否会被壳影响
样本6:在CobaltStrike C语言 Payload的基础上由NIM构建,使用APC注入notepad执行Payload
样本7:在CobaltStrike C语言 Payload的基础上由NIM构建,使用3DES算法加密了Payload
样本8:在CobaltStrike Powershell Payload的基础上由Veil生成的Go语言加载器加载Payload
样本9:在CobaltStrike Powershell Payload的基础上由Veil生成的Python语言加载器加载Payload,使用DES加密
样本10:在CobaltStrike C语言 Payload的基础上经过TideSec提供的Go语言加载器加载Payload,使用异或加密

一号选手:火绒

样本1:防御成功

样本2:防御失败

样本3:防御成功

样本4:防御成功

样本5:防御成功

样本6:防御成功

样本7:防御成功

样本8:防御成功

样本9:防御成功

样本10:防御成功

二号选手:腾讯

样本1:防御成功

样本2:防御失败

样本3:防御成功

样本4:防御成功

样本5:防御失败

样本6:防御失败

样本7:防御失败

样本8:防御成功

样本9:防御失败

样本10:防御失败

三号选手:360

样本1:无提示 C2未连接成功

样本2:无提示 C2未连接成功

样本3:防御成功

样本4:防御成功

样本5:防御失败

样本6:防御成功

样本7:防御成功

样本8:防御失败

样本9:防御失败

样本10:防御成功

四号选手:智量

样本1:无提示 C2未连接成功

样本2:防御成功

样本3:防御成功

样本4:防御成功

样本5:防御成功

样本6:防御成功

样本7:防御成功

样本8:防御成功

样本9:防御成功

样本10:防御成功

五号选手:金山

样本1:无提示 C2未连接成功

样本2:防御成功

样本3:防御成功

样本4:防御失败

样本5:防御失败

样本6:防御失败

样本7:防御失败

样本8:防御失败

样本9:防御成功

样本10:防御失败

六号选手:奇安信

样本1:防御成功

样本2:防御成功

样本3:防御成功

样本4:防御成功

样本5:防御成功

样本6:防御成功

样本7:防御成功

样本8:防御成功

样本9:防御成功

样本10:防御成功

七号选手:瑞星

样本1:无提示 C2未连接成功

样本2:防御失败

样本3:防御成功

样本4:防御成功

样本5:防御失败

样本6:防御失败

样本7:防御失败

样本8:防御成功

样本9:防御失败

样本10:防御失败

八号选手:HitmanPro.Alart(By:呵呵)

样本1:防御成功

样本2:防御成功

样本3:防御成功

样本4:防御成功

样本5:防御成功

样本6:防御成功

样本7:防御成功

样本8:防御成功

样本9:防御成功

样本10:防御成功

九号选手:Microsoft Defender

样本1:防御成功

样本2:防御失败

样本3:防御成功

样本4:防御成功

样本5:防御成功

样本6:防御失败

样本7:防御失败

样本8:防御成功

样本9:防御成功

样本10:防御失败

十号选手:Avast

样本1:防御成功

样本2:防御成功

样本3:无提示 C2未连接

样本4:防御成功

样本5:防御成功

样本6:防御成功

样本7:防御成功

样本8:防御成功

样本9:防御成功

样本10:防御成功

十一号选手:Heimdal(BY:呵呵)

样本1:防御失败

样本2:防御失败

样本3:防御成功

样本4:防御成功

样本5:防御成功

样本6:防御成功

样本7:防御成功

样本8:防御成功

样本9:防御成功

样本10:防御成功

十二号选手:F-Secure(BY:东雪莲)

样本1:防御成功

样本2:防御成功

样本3:防御成功

样本4:防御成功

样本5:防御成功

样本6:防御成功

样本7:防御成功

样本8:防御成功

样本9:防御成功

样本10:防御成功

截止12号选手,我们更换了C&C服务器,重新生成了全部的样本

十三号选手:Norton

样本1:防御成功

样本2:防御成功

样本3:防御成功

样本4:防御成功

样本5:防御成功

样本6:防御成功

样本7:防御成功

样本8:防御成功

样本9:防御成功

样本10:防御成功

十四号选手:Ikarus(BY:呵呵)

样本1:防御成功

样本2:防御失败

样本3:防御成功

样本14:防御成功

样本5:防御失败

样本6:防御成功

样本7:防御成功

样本8:防御成功

样本9:防御失败

样本10:防御成功

十五号选手:Kaspersky

样本1:防御成功

样本2:防御成功

样本3:无提示 下载失败

样本4:防御成功

样本5:防御成功

样本6:防御成功

样本7:防御成功

样本8:防御成功

样本9:防御成功

样本10:防御成功

十六号选手:Avira(BY:东雪莲)

样本1:防御成功

样本2:防御成功

样本3:防御成功

样本4-10:防御成功(解压杀)

十七号选手:Bitdefender

样本1:防御成功

样本2:防御成功

样本3:防御成功

样本4:防御成功

样本5:防御成功

样本6:防御成功

样本7:防御成功

样本8:防御成功

样本9:防御成功

样本10:防御成功

十八号选手:Ahnlab(BY:东雪莲)

样本4/5/6/7/8:防御成功(解压杀)

样本1:防御成功

样本2:防御成功

样本9:防御成功

样本10:防御成功

十九号选手:McAfee

样本1:防御成功

样本2:防御成功

样本3:防御成功

样本4:防御成功

样本5:防御成功

样本6:防御失败

样本7:防御失败

样本8:防御成功

样本9:防御成功

样本10:防御失败

二十号选手:Malwarebytes(BY:呵呵)

样本1:防御成功

样本2:防御失败

样本3:无提示 c2未连接

样本4:防御成功

样本5:防御成功

样本6:防御成功

样本7:防御成功

样本8:防御成功

样本9:防御成功

样本10:防御成功

二十一号选手:Panda

样本1:防御失败

样本2:防御失败

样本3:防御成功

样本4:防御失败

样本5:防御失败

样本6:防御失败

样本7:防御失败

样本8:防御失败

样本9:防御失败

样本10:防御失败

二十二号选手:TrendMicro

样本1:防御成功

样本2:防御成功

样本3:防御成功

样本4:防御成功

样本5:防御成功

样本6:防御失败

样本7:防御成功

样本8:防御成功

样本9:防御成功

样本10:防御成功

二十三号选手:ESET

样本1:防御成功

样本2:防御成功

样本3:无提示 C2未连接

样本4:防御成功

样本5:防御成功

样本6:防御成功

样本7:防御成功

样本8:防御成功

样本9:防御成功

样本10:防御成功

二十四号选手:QuickHeal

样本1:防御成功

样本2:防御失败

样本3:防御成功

样本4:防御成功

样本5:防御失败

样本6:防御失败

样本7:防御失败

样本8:防御失败

样本9:防御失败

样本10:防御失败

二十五号选手:Webroot

样本1:防御失败

样本2:防御失败

样本3:防御成功

样本4:防御成功

样本5:防御失败

样本6:防御失败

样本7:防御失败

样本8:防御成功

样本9:防御失败

样本10:防御失败

二十六号选手:ZoneAlarm

样本1:防御成功

样本2:防御失败

样本3:防御成功

样本4:防御成功

样本5:防御成功

样本6:防御成功

样本7:防御成功

样本8:防御成功

样本9:防御成功

样本10:防御失败

二十七号选手:Acronis

样本1:防御成功

样本2:防御成功

样本3:防御成功

样本4:防御成功

样本5:防御成功

样本6:防御成功

样本7:防御成功

样本8:防御成功

样本9:防御成功

样本10:防御成功

二十八号选手:Immunet

样本1:防御失败

样本2:防御失败

样本3:防御失败

样本4:防御失败

样本5:防御失败

样本6:防御失败

样本7:防御失败

样本8:防御失败

样本9:防御失败

样本10:防御失败

二十九号选手:Vibranium

样本1:防御失败

样本2:防御失败

样本3:防御成功

样本4:防御成功

样本5:防御成功

样本6:防御成功

样本7:防御成功

样本8:防御成功

样本9:防御成功

样本10:防御失败

三十号选手:DrWeb

样本1:防御成功

样本2:防御成功

样本3:防御成功

样本4:防御成功

样本5:防御成功

样本6:防御成功

样本7:防御成功

样本8:防御成功

样本9:防御成功

样本10:防御成功

三十一号选手:K7

样本1:防御成功

样本2:防御失败

样本3:防御成功

样本4:防御成功

样本5:防御成功

样本6:防御成功

样本7:无提示 C2未连接

样本8:防御成功

样本9:防御成功

样本10:无提示 C2未连接

三十二号选手:GDATA

样本1:防御成功

样本2:防御成功

样本3:防御成功

样本4:防御成功

样本5:防御成功

样本6:防御成功

样本7:防御成功

样本8:防御成功

样本9:防御成功

样本10:防御成功

三十三号选手:Emsisoft

样本1:防御成功

样本2:防御失败

样本3:防御成功

样本4:防御成功

样本5:防御成功

样本6:防御成功

样本7:防御成功

样本8:防御成功

样本9:防御成功

样本10:防御成功

三十四号选手:VIPRE

样本1:无提示 C2未连接

样本2:防御成功

样本3:防御成功

样本4:防御成功

样本5:防御失败

样本6:防御成功

样本7:防御成功

样本8:防御成功

样本9:防御成功

样本10:防御成功

三十五号选手:TotalDefense

样本1:防御成功

样本2:防御成功

样本3:防御成功

样本4:防御成功

样本5:防御失败

样本6:防御成功

样本7:防御成功

样本8:防御成功

样本9:防御成功

样本10:防御成功

三十六号选手:eScan

样本1:防御成功

样本2:防御失败

样本3:防御成功

样本4:防御成功

样本5:防御成功

样本6:防御成功

样本7:防御成功

样本8:防御成功

样本9:防御成功

样本10:防御成功

三十七号选手:Adaware

样本1:防御成功

样本2:防御失败

样本3:防御成功

样本4:防御成功

样本5:防御失败

样本6:防御成功

样本7:防御成功

样本8:防御成功

样本9:防御成功

样本10:防御成功

三十八号选手:Comodo(注:无脑入沙是否算有效检测请自行判断)

样本1:?

样本2:防御失败

样本3:?

样本4:?

样本5:?

样本6:?

样本7:?

样本8:?

样本9:?

样本10:?

三十九号选手:Watchdog

样本1:防御失败

样本2:防御失败

样本3:防御失败

样本4:防御失败

样本5:防御失败

样本6:防御失败

样本7:防御失败

样本8:防御失败

样本9:防御失败

样本10:防御失败

四十号选手:Zemana

样本1:防御失败

样本2:防御失败

样本3:防御失败

样本4:防御失败

样本5:防御成功

样本6:防御失败

样本7:防御失败

样本8:防御失败

样本9:防御失败

样本10:防御失败

四十一号选手:Zillya

样本1:防御失败

样本2:防御失败

样本3:防御失败

样本4:防御失败

样本5:防御失败

样本6:防御失败

样本7:防御失败

样本8:防御失败

样本9:防御失败

样本10:防御失败

四十二号选手:Protegent

样本1:防御失败

样本2:防御失败

样本3:防御成功

样本4:防御失败

样本5:防御失败

样本6:防御失败

样本7:防御失败

样本8:防御失败

样本9:防御失败

样本10:防御失败

四十三号选手:Bkav(注:该软件免费版和付费版差别较大且付费版无法试用)

样本1:防御失败

样本2:防御失败

样本3:防御失败

样本4:防御失败

样本5:防御失败

样本6:防御失败

样本7:防御失败

样本8:防御失败

样本9:防御失败

样本10:防御失败

四十四号选手:MaxSecure

样本1:防御失败

样本2:防御失败

样本3:无提示 C2未连接

样本4:防御成功

样本5:防御成功

样本6:防御成功

样本7:防御成功

样本8:防御成功

样本9:防御成功

样本10:防御失败

四十五号选手:CatchPulse(注:该软件测试过程中出现了极为严重的误报情况)

样本1:防御成功

样本2:防御成功

样本3:防御成功

样本4:防御成功

样本5:防御成功

样本6:防御成功

样本7:防御成功

样本8:防御成功

样本9:防御成功

样本10:防御成功

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 49人气 +150 收起 理由
原汁原味 + 3 很给力!
东极熊猫 + 3 感谢解答: )
liqingcn + 1 精品文章
dsb2466 + 3 好久不见这种帖子,辛苦了
超超~.~ + 3 多图杀猫

查看全部评分

761773275
发表于 2023-1-19 10:02:21 | 显示全部楼层
奇安信這怕是把企業產品下發了
神龟Turmi
 楼主| 发表于 2023-1-19 10:09:09 | 显示全部楼层
761773275 发表于 2023-1-19 10:02
奇安信這怕是把企業產品下發了

这难道不是好事吗 我就想每家都把企业版完整下放给个人版才做这种测试
RMLUG
发表于 2023-1-19 11:04:04 | 显示全部楼层
金山毒霸不是新增了无文件攻击防护和内存防护吗?怎么就防御了这么点
onedrive
发表于 2023-1-19 11:15:45 来自手机 | 显示全部楼层
前排占位!话说有国外的安软吗!
ccddqq
发表于 2023-1-19 11:23:13 | 显示全部楼层
onedrive 发表于 2023-1-19 11:15
前排占位!话说有国外的安软吗!

龟龟安排了国外的企业版杀软
Eunismal
发表于 2023-1-19 11:23:52 | 显示全部楼层
onedrive 发表于 2023-1-19 11:15
前排占位!话说有国外的安软吗!

HitmanPro就是国外的
微信
发表于 2023-1-19 11:27:18 | 显示全部楼层
Eunismal 发表于 2023-1-19 11:23
HitmanPro就是国外的

我的意思是想礼貌的问一下会测卡巴诺顿这种的吗(如果精力够的话)
東雪蓮Official
发表于 2023-1-19 11:36:47 | 显示全部楼层
占位
神龟Turmi
 楼主| 发表于 2023-1-19 11:40:49 | 显示全部楼层
微信 发表于 2023-1-19 11:27
我的意思是想礼貌的问一下会测卡巴诺顿这种的吗(如果精力够的话)

全都会有 这些拉黑快的可能会放到明天(我今晚重新生成一遍全部payload)
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2023-2-3 09:19 , Processed in 0.135195 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表