【毒组x帮帮团】如果用攻击企业的方法攻击个人安全软件会怎么样呢？ 第四期

神龟Turmi

完结撒花 截图龟速上传中


往期回顾
第三期：https://bbs.kafan.cn/thread-2250429-1-1.html
第一期：https://bbs.kafan.cn/thread-2181276-1-1.html

结果统计
https://docs.qq.com/sheet/DRkJWbnZTYUdNRmNu


三年前的第一期，我们测试过Empire框架对个人安全软件的攻击效果，半年前，我们测试过CobaltStrike框架对个人安全软件的效果。
最近，我了解到，很多红队并不会非常依赖这些开源的加载器，而是有一些预配置的商业方案，我决定来试一试。
刚好，有一个商业的AV Bypass工具作者愿意赞助我进行这个测试，感谢他提供的Bypass工具。
同时，有一个团队接盘了已经停止更新的Empire，我决定将新版本的Empire也加入测试，看看之前测试之后有没有安全软件做了更好的防御。
作为实验组，我们使用市面上几乎全部的个人安全软件来测试，并且完全保持默认状态。

我们的测试将做以下操作：
1.下载payload到本地
2.启动payload（可能有加载器）
3.样本建立c2连接（目标服务器为公网云服务器）
4.靶机上线
5.控制端下发命令截图
6.控制端下发命令获取c盘的一个txt文件（模拟窃取数据）
安全软件若在下列过程的任意一步以任意方式（包括静态扫描/启发/防火墙拦截c2等）阻止，则视为防御成功，只有在全部步骤执行完毕后依然毫无动作则视为防御失败。

本次测试的参与者：
卡饭病毒测试组：@神龟Turmi
卡饭帮帮团：@隔山打空气 @呵呵大神001
无团队成员：@東雪蓮Official @alpharabbit

本次我们为了测试准备了10个样本，分为Scenario-A（CobaltStrike）和Scenario-B（Empire）：
Scenario-A 样本1：基于CobaltStrike，使用XOR加密payload，使用direct syscalls替代原有依赖，打包为.Net 4.0可执行文件
Scenario-A 样本2：基于CobaltStrike，使用HEX混淆payload，使用direct syscalls替代原有依赖，附带一个伪造的数字签名，打包为.Net 4.0可执行文件
Scenario-A 样本3：基于CobaltStrike，使用AES加密payload，使用ConfuserEX混淆，打包为.Net 4.0可执行文件
Scenario-A 样本4：基于CobaltStrike，使用XOR加密payload，附带一个伪造的数字签名，使用LLVM编译为可执行文件
Scenario-A 样本5：基于CobaltStrike，使用XOR加密payload，使用Shikata-Ga-Nai混淆，使用LLVM编译为可执行文件
Scenario-B 样本1：基于Empire，模拟Ducky/Teensy等BadUSB的方式，使用击键的方式执行Powershell payload，无二进制落地
Scenario-B 样本2：基于Empire，打包为XSL文件，由wmic执行Powershell payload，无二进制落地
Scenario-B 样本3：基于Empire，打包为SCT脚本，由regsvr32执行Powershell payload，无二进制落地
Scenario-B 样本4：基于Empire，打包为VBS脚本，由scripthost执行Powershell payload，无二进制落地
Scenario-B 样本5：基于Empire，打包为XML文件，由msbuild执行Powershell payload，无二进制落地

以下为测试正篇，图片较多，请流量党小心观看

1号选手：Windows Defender（7/10）


Scenario-A 样本1：防御成功


Scenario-A 样本2：防御失败


Scenario-A 样本3：防御失败


Scenario-A 样本4：防御成功


Scenario-A 样本5：防御失败


Scenario-B 样本1：防御成功


Scenario-B 样本2：防御成功


Scenario-B 样本3：防御成功


Scenario-B 样本4：防御成功


Scenario-B 样本5：防御成功

2号选手：Kaspersky（10/10）


Scenario-A 样本1：防御成功


Scenario-A 样本2：防御成功


Scenario-A 样本3：防御成功


Scenario-A 样本4：防御成功


Scenario-A 样本5：防御成功


Scenario-B 样本1：防御成功


Scenario-B 样本2：防御成功


Scenario-B 样本3：防御成功


Scenario-B 样本4：防御成功


Scenario-B 样本5：防御成功

3号选手：360（6/10）


Scenario-A 样本1：防御失败


Scenario-A 样本2：防御失败


Scenario-A 样本3：防御成功


Scenario-A 样本4：防御失败


Scenario-A 样本5：防御失败


Scenario-B 样本1：防御成功


Scenario-B 样本2：防御成功


Scenario-B 样本3：防御成功


Scenario-B 样本4：防御成功


Scenario-B 样本5：防御成功

4号选手：奇安信（8/10）


Scenario-A 样本1：防御成功


Scenario-A 样本2：防御成功


Scenario-A 样本3：防御成功


Scenario-A 样本4：防御成功


Scenario-A 样本5：防御失败


Scenario-B 样本1：防御成功


Scenario-B 样本2：防御成功


Scenario-B 样本3：防御成功


Scenario-B 样本4：防御成功


Scenario-B 样本5：防御失败

5号选手：火绒（7/10）


Scenario-A 样本1：防御失败


Scenario-A 样本2：防御失败


Scenario-A 样本3：防御失败


Scenario-A 样本4：防御成功


Scenario-A 样本5：防御成功


Scenario-B 样本1：防御成功


Scenario-B 样本2：防御成功


Scenario-B 样本3：防御成功


Scenario-B 样本4：防御成功


Scenario-B 样本5：防御成功

6号选手：腾讯（1/10）


Scenario-A 样本1：防御失败


Scenario-A 样本2：防御失败


Scenario-A 样本3：防御失败


Scenario-A 样本4：防御失败


Scenario-A 样本5：防御失败


Scenario-B 样本1：防御失败


Scenario-B 样本2：防御失败


Scenario-B 样本3：防御失败


Scenario-B 样本4：防御失败


Scenario-B 样本5：防御失败

7号选手：金山（4/10）


Scenario-A 样本1：防御失败


Scenario-A 样本2：防御失败


Scenario-A 样本3：防御失败


Scenario-A 样本4：防御失败


Scenario-A 样本5：防御失败


Scenario-B 样本1：防御成功


Scenario-B 样本2：防御成功


Scenario-B 样本3：防御成功


Scenario-B 样本4：防御成功


Scenario-B 样本5：防御失败

8号选手：瑞星（2/10）


Scenario-A 样本1：防御成功


Scenario-A 样本2：防御成功


Scenario-A 样本3：防御失败


Scenario-A 样本4：防御失败


Scenario-A 样本5：防御失败


Scenario-B 样本1：防御失败


Scenario-B 样本2：防御失败


Scenario-B 样本3：防御失败


Scenario-B 样本4：防御失败


Scenario-B 样本5：防御失败

9号选手：Norton（8/10）


Scenario-A 样本1：防御成功（防火墙）


Scenario-A 样本2：防御成功（防火墙）


Scenario-A 样本3：防御成功


Scenario-A 样本4：防御失败


Scenario-A 样本5：防御失败


Scenario-B 样本1：防御成功


Scenario-B 样本2：防御成功


Scenario-B 样本3：防御成功


Scenario-B 样本4：防御成功


Scenario-B 样本5：防御成功

10号选手：Avast（9/10）


Scenario-A 样本1：防御成功


Scenario-A 样本2：防御成功


Scenario-A 样本3：防御成功


Scenario-A 样本4：防御失败


Scenario-A 样本5：防御成功


Scenario-B 样本1：防御成功


Scenario-B 样本2：防御成功


Scenario-B 样本3：防御成功


Scenario-B 样本4：防御成功


Scenario-B 样本5：防御成功

11号选手：Avira（8/10）


Scenario-A 样本1：防御成功


Scenario-A 样本2：防御成功


Scenario-A 样本3：防御成功


Scenario-A 样本4：防御成功


Scenario-A 样本5：防御成功


Scenario-B 样本1：防御失败


Scenario-B 样本2：防御失败


Scenario-B 样本3：防御成功


Scenario-B 样本4：防御成功


Scenario-B 样本5：防御成功

12号选手：ESET（10/10）


Scenario-A 样本1：防御成功


Scenario-A 样本2：防御成功


Scenario-A 样本3：防御成功


Scenario-A 样本4：防御成功


Scenario-A 样本5：防御成功


Scenario-B 样本1：防御成功


Scenario-B 样本2：防御成功


Scenario-B 样本3：防御成功


Scenario-B 样本4：防御成功


Scenario-B 样本5：防御成功

13号选手：Dr.Web（6/10）


Scenario-A 样本1：防御成功


Scenario-A 样本2：防御成功


Scenario-A 样本3：防御成功


Scenario-A 样本4：防御成功


Scenario-A 样本5：防御成功


Scenario-B 样本1：防御失败


Scenario-B 样本2：防御失败


Scenario-B 样本3：防御成功


Scenario-B 样本4：防御失败


Scenario-B 样本5：防御失败

14号选手：Bitdefender（10/10）


Scenario-A 样本1：防御成功


Scenario-A 样本2：防御成功


Scenario-A 样本3：防御成功


Scenario-A 样本4：防御成功


Scenario-A 样本5：防御成功


Scenario-B 样本1：防御成功


Scenario-B 样本2：防御成功


Scenario-B 样本3：防御成功


Scenario-B 样本4：防御成功


Scenario-B 样本5：防御成功

15号选手：McAfee（7/10）


Scenario-A 样本1：防御成功


Scenario-A 样本2：防御成功


Scenario-A 样本3：防御成功


Scenario-A 样本4：防御失败


Scenario-A 样本5：防御失败


Scenario-B 样本1：防御成功


Scenario-B 样本2：防御成功


Scenario-B 样本3：防御成功


Scenario-B 样本4：防御成功


Scenario-B 样本5：防御失败

16号选手：Malwarebytes（3/10）


Scenario-A 样本1：防御成功


Scenario-A 样本2：防御成功


Scenario-A 样本3：防御失败


Scenario-A 样本4：防御失败


Scenario-A 样本5：防御成功


Scenario-B 样本1：防御失败


Scenario-B 样本2：防御失败


Scenario-B 样本3：防御失败


Scenario-B 样本4：防御失败


Scenario-B 样本5：防御失败

17号选手：Sophos（10/10） PS：这tm完全就是个企业级的东西。。。哪有给家庭用户看ATT&CK Technique的。。。



Scenario-A 样本1：防御成功


Scenario-A 样本2：防御成功


Scenario-A 样本3：防御成功


Scenario-A 样本4：防御成功


Scenario-A 样本5：防御成功


Scenario-B 样本1：防御成功


Scenario-B 样本2：防御成功


Scenario-B 样本3：防御成功


Scenario-B 样本4：防御成功


Scenario-B 样本5：防御成功

18号选手：HMPA（5/10）


Scenario-A 样本1：防御成功


Scenario-A 样本2：防御成功


Scenario-A 样本3：防御成功


Scenario-A 样本4：防御成功


Scenario-A 样本5：防御成功


Scenario-B 样本1：防御失败


Scenario-B 样本2：防御失败


Scenario-B 样本3：防御失败


Scenario-B 样本4：防御失败


Scenario-B 样本5：防御失败

19号选手：Ikarus（7/10）


Scenario-A 样本1：防御成功


Scenario-A 样本2：防御成功


Scenario-A 样本3：防御成功


Scenario-A 样本4：防御失败


Scenario-A 样本5：防御失败


Scenario-B 样本1：防御成功


Scenario-B 样本2：防御成功


Scenario-B 样本3：防御成功


Scenario-B 样本4：防御失败


Scenario-B 样本5：防御成功

20号选手：Panda（5/10）


Scenario-A 样本1：防御失败


Scenario-A 样本2：防御失败


Scenario-A 样本3：防御失败


Scenario-A 样本4：防御失败


Scenario-A 样本5：防御失败


Scenario-B 样本1：防御成功


Scenario-B 样本2：防御成功


Scenario-B 样本3：防御成功


Scenario-B 样本4：防御成功


Scenario-B 样本5：防御成功

21号选手：TrendMicro（10/10）


Scenario-A 样本1：防御成功


Scenario-A 样本2：防御成功


Scenario-A 样本3：防御成功


Scenario-A 样本4：防御成功


Scenario-A 样本5：防御成功


Scenario-B 样本1：防御成功


Scenario-B 样本2：防御成功


Scenario-B 样本3：防御成功


Scenario-B 样本4：防御成功


Scenario-B 样本5：防御成功

22号选手：F-Secure（8/10）


Scenario-A 样本1：防御成功


Scenario-A 样本2：防御失败


Scenario-A 样本3：防御成功


Scenario-A 样本4：防御失败


Scenario-A 样本5：防御成功


Scenario-B 样本1：防御成功


Scenario-B 样本2：防御成功


Scenario-B 样本3：防御成功


Scenario-B 样本4：防御成功


Scenario-B 样本5：防御成功

23号选手：G DATA（9/10）


Scenario-A 样本1：防御成功


Scenario-A 样本2：防御成功


Scenario-A 样本3：防御成功


Scenario-A 样本4：防御成功


Scenario-A 样本5：防御成功


Scenario-B 样本1：防御成功


Scenario-B 样本2：防御成功


Scenario-B 样本3：防御成功


Scenario-B 样本4：防御成功


Scenario-B 样本5：防御成功

神龟Turmi

一些补充说明：

1.因为我一开始没打算测试EMSI
所以先测了BD和GDATA过了1天才测EMSI
测试过程中发现原本BD特征miss的4号样本已经被特征通杀（重新编译依然被杀）
如果将EMSI列入测试会对GDATA不公平
故本次测试没有EMSI，也不会再测试其他BD系，望周知

2.Norton初始测试使用了无法更新到最新版本的60天OEM版本，感谢两位饭友的反馈，已经重测
重测使用了全部重新生成或编译的payload（样本尾缀-D）
原始结果为3/10 重测结果为8/10
截图已经重新上传

3.360由@Yuki丶 重新测试开启核晶的效果
重测使用了第三天测试时重新生成或编译的payload（样本尾缀-C）
原始结果为6/10 重测结果为6/10
由于结果相同，不重新上传截图

4.考虑到测试C&C服务器运营商（akamai connected cloud）对我的要求（尽可能少的受到投诉）
以及考虑到本次测试部分样本的打包工具为Inceptor的商业订阅版本而非开源版本
我决定在测试结束后不公开发布测试用样本
如果你是安全软件厂商人员并且想获得样本用于测试复盘，在保证不向akamai connected cloud投诉的前提下
可以给我发送卡饭或malwaretips站内信，我将提供对应的样本以及完整的生成过程（不包括Inceptor商业订阅版本工具）

5.如果微软的法务团队看到了这个帖子（没错 我在DMCA withdrawal notice require中附上了url，你们应该看到这个帖子）
我想你们解释一下你们DMCA notice中提到的

Microsoft and Fortra have conducted a detailed investigation and detected a pattern of IP addresses hosted by your company acting as command and control infrastructure for the malicious, trademark and copyright infringing use of illegal versions of software known as “Cobalt Strike.” During the Attacks illegal activity is conducted through these IP addresses by delivering malicious commands to and receiving stolen information from victim computers running Microsoft’s Windows operating system. The malicious and unlawful versions of Cobalt Strike controlled through these IP addresses are used to target victims with ransomware (i.e., Conti and Lockbit) resulting in extortion of funds and theft of sensitive information, intrusion into victims’ computers and networks, surveillance of the victims, and obfuscation of the cybercriminals’ activity. In these ways, the Attacks emanating from the IP addresses hosted by your company are causing severe business disruption and injury to Microsoft, Fortra, and their respective customers, including victims in sensitive industries such as healthcare and individual consumers. The Attacks from your company’s infrastructure are ongoing. It is also foreseeable that if your customers carrying out the illegal Attacks over the identified IP addresses are permitted to continue to use your company’s infrastructure in the future, Microsoft, Fortra, and their respective customers will as a result be subject to continued serious injury.

为何对我本人以及我的测试计划恶意诋毁？
一码归一码，你说我们注入windows进程以及调用windows api有侵权嫌疑，我们已经删除了相关代码
但是你们对我们的恶意诋毁我也保留追究诽谤罪的权利
另外，你附上的证据

1. // declaration of function pointer for advapi32.dll
   
2. typedef BOOL (*AdjustTokenPrivileges)(
   
3. ?????? HANDLE??????????? ????????? ?TokenHandle,
   
4. ?????? BOOL????????????? ???????????? ?DisableAllPrivileges,
   
5. ?????? PTOKEN_PRIVILEGES NewState,
   
6. ?????? DWORD???????????? ???????? ??BufferLength,
   
7. ?????? PTOKEN_PRIVILEGES PreviousState,
   
8. ?????? PDWORD??????????? ??????? ??ReturnLength
   
9. ?????? );

复制代码

来自你们的公开文档，并非undocument API
https://learn.microsoft.com/en-u ... justtokenprivileges
你写得我用不得？我用不得APT组织用得？你不去投诉他们投诉我？
这是公开的喊话，目的是维护我个人的正当权益，无论你们是否撤回DMCA，都不会修改，也不会删除，因为这是你们对我个人的诋毁！
如果你有证据我攻击了除我测试设备以外的任何人（特别你们还说我攻击和勒索了医疗行业），请提供证据，而不是信口雌黄！
本次测试过程中我收到了3次的abuse投诉，以及微软的DMCA投诉
如果安全软件厂商是这个态度对待非盈利性测试者，并且没有一家出面向我道歉，这将是我最后一次测试

shuiyue96

前排支持

Yuki丶

前排
古董杀软:https://docs.qq.com/sheet/DTFJaQlZkakdMcW1v

wwwab

地板

GreatMOLA

诺顿的版本太旧了吧。

神龟Turmi

GreatMOLA 发表于 2023-6-11 09:24
诺顿的版本太旧了吧。

OEM的90天试用版UI就是这样的
看截图里的“当前”，这是更新完了的

a8855942

卡巴厉害

GreatMOLA

神龟Turmi 发表于 2023-6-11 09:34
OEM的90天试用版UI就是这样的
看截图里的“当前”，这是更新完了的

这个的确是旧版本，诺顿的旧版本升级需要多次尝试LiveUpdate直到没有发现新的更新为止，你试试。

神龟Turmi

GreatMOLA 发表于 2023-6-11 10:09
这个的确是旧版本，诺顿的旧版本升级需要多次尝试LiveUpdate直到没有发现新的更新为止，你试试。

现在测估计就10/10了 虽然norton miss了但是刚测完立马被他们沙箱上线 我刚在cobaltstrike里删了40多个他们云沙箱的agent 还有avast ip的云沙箱 gen系联动很快的
包括刚测avira的时候一片APC 还好我有备用payload 这种情况下没法测第二次

GreatMOLA

神龟Turmi 发表于 2023-6-11 10:12
现在测估计就10/10了 虽然norton miss了但是刚测完立马被他们沙箱上线 我刚在cobaltstrike里删了40多个他 ...

好吧，下次要测的话我可以提供授权，就不用下载2021年的老OEM版了。