查看: 29480|回复: 176
收起左侧

[技术原创] 【完结】【毒组x帮帮团】如果用攻击企业的方法攻击个人安全软件会怎么样呢?第五期

  [复制链接]
神龟Turmi
发表于 2023-10-16 18:00:46 | 显示全部楼层 |阅读模式
本帖最后由 神龟Turmi 于 2023-10-21 01:16 编辑

是的,我是说过微软不道歉不做测试了,但是后来想了想,把我和微软的“私人恩怨”上升到这样并不合适
所以我回来了,但是我的参与的测试中将不会再出现Windows Defender

结果统计
https://docs.qq.com/sheet/DRk96Z1Jlamt4aW9J

本期测试不再上传截图,而是改用视频的方式展示测试过程
在今天之前,我们做过4次的类似测试,但是我们都使用了非常热门的渗透框架,并且一直着力于模拟在渗透的前期
今天我想做出一点改变,在参考了MITRE的测试方法以及略微考虑了ATT&CK矩阵之后,让我们把模拟的周期向后靠一些
同时,我学习并使用了两款小众的攻击框架,它们用的人非常少,可能可以模拟黑客自制的工具的效果

在这次测试中,我们将会用到两款渗透框架,分别为Nimbo-C2和PowerHub
其中Nimbo-C2和之前一样,将承担渗透前中期的落地和获得权限任务,而PowerHub的加入旨在模拟中后期的数据窃取和横向移动
由于把整个渗透周期的模拟做了比较大的调整,使用以前的上线成功并执行单一任务计分显然是不合适的
所以在这次测试中我重新设计了计分方式,满分为20分,但是考虑到我是个菜鸡模拟,我的技术不可能和真正的APT组织对比,所以依然及格线是满分
其中,Nimbo-C2和PowerHub会分别生成5个Payload,每个Payload被成功执行并连接上C2则扣除1分,除此之外,我分别设计了5个渗透目的,如果被完成渗透目的则额外再扣1分

下面是本次测试总分20分的具体分布:
Execute Group-A:
01.Nimbo-C2生成的exe样本,除了修改AES-Key和IV,以及自定义了持久化目标的路径,我没有对代码做额外的改动
02.Nimbo-C2生成的exe样本,经过Codevirtual虚拟化混淆
03.Nimbo-C2生成的exe样本,经过VMP变异,未使用虚拟化
04.Nimbo-C2生成的dll样本,设计为由regsvr32直接执行,除了修改AES-Key和IV,以及自定义了持久化目标的路径,我没有对代码做额外的改动
05.Nimbo-C2生成的dll样本,设计为由regsvr32直接执行,经过Codevirtual虚拟化混淆
渗透目的:
06.屏幕截图,获取样本运行时的屏幕显示情况
07.键盘记录,开启后模拟键盘记录获得密码的操作(当然我肯定是随便打开个文本敲几下啦)
08.UAC绕过,利用Windows的设计缺陷获得管理员权限,以方便后续进一步完成目标
09.破坏AMSI,为组B(PowerHub)的无文件Payload的运行创造条件
10.Dump LSASS,通过Dump关键凭据的进程,获得更多的信息,以及为横向移动做准备
Execute Group-B:
11.PowerHub生成的powershell样本,编码后直接使用
12.PowerHub生成的powershell样本,使用zc001开发的混淆(存在已知缺陷,明确可检测)
13.PowerHub生成的powershell样本,编码后使用DH算法加密脚本内容,但未做混淆
14.PowerHub生成的powershell样本,使用am0nsec开发的混淆
15.PowerHub生成的powershell样本,使用MattGraber开发的混淆
渗透目的:
16.GSI,获得一些系统的信息(此处主要用于确认脚本运行成功)
17.代码下载,从C2服务器获得后渗透工具的代码,为横向移动做准备
18.代码执行,执行前一步获得的代码(本测试不包括实际横向移动的模拟,仅运行横向移动工具,请见谅)
19.窃取Edge浏览器密码库密钥
20.窃取Steam SSFN Cookie

本次测试的参与者:
卡饭病毒测试组:@神龟Turmi
卡饭帮帮团:@隔山打空气 @呵呵大神001
无团队成员:@東雪蓮Official @AlphaRabbit @t0kenzero

以下为测试正篇

360:https://www.bilibili.com/video/BV1fw411c7PB
配置修改:无,未开启核晶

360TS:https://www.bilibili.com/video/BV1TB4y1f7Zo
配置修改:无,免费版

奇安信天守:https://www.bilibili.com/video/BV1S84y127fS
配置修改:无

火绒:https://www.bilibili.com/video/BV1th4y1q73r
配置修改:无,视频中忘记测试了一个子项,后续补测结果为MISS

腾讯:https://www.bilibili.com/video/BV1zC4y1G7xh
配置修改:无

华为:https://www.bilibili.com/video/BV1tw411C7Qm
配置修改:无

金山:https://www.bilibili.com/video/BV1Du4y1s777
配置修改:无

卡巴斯基:https://www.bilibili.com/video/BV1i34y1g7wj
配置修改:无,免费版

Checkpoint(企业版):https://www.bilibili.com/video/BV1vH4y1R77K
配置修改:
含俄罗斯代码(卡巴斯基引擎)版本
Anti-Malware:扫描所有文件,扫描不常见的访问操作
Threat Emulation:启用Win10沙箱
Anti-bot:Prevent Low Confidence
Threat Forensics:Always,隔离未知信誉,结束进程可信信誉

Norton:https://www.bilibili.com/video/BV1Vy4y1N7DW
配置修改:无

Avast:https://www.bilibili.com/video/BV1sw411c7ve
配置修改:无,免费版

Avira:https://www.bilibili.com/video/BV1Bu4y1s7dQ
配置修改:无,免费版

ESET:https://www.bilibili.com/video/BV1gB4y1o7sd
配置修改:无

DeepInstinct(企业版):https://www.bilibili.com/video/BV1EH4y1d7Ki
配置修改:
D-Brain:拦截中等以上置信度威胁
D-Cloud:开启PUA和Dual-Use Tool检测
行为保护:开启全部
注册到Windows安全中心:是

McAfee:https://www.bilibili.com/video/BV1sM41197UQ
配置修改:无,R112

Emsisoft:https://www.bilibili.com/video/BV1dC4y1G7gc
配置修改:无

GDATA:https://www.bilibili.com/video/BV15M41197ZK
配置修改:无

VIPRE:https://www.bilibili.com/video/BV1494y1b775/
配置修改:无

TotalDefense:https://www.bilibili.com/video/BV1q34y1M7MN
配置修改:无

Bitdefender(企业版):https://www.bilibili.com/video/BV1fh4y1q7Ao/
配置修改:
On-access Scanning:侵略性+进程内存
ATC:侵略性
Fileless Attack Protection:命令行扫描器+反病毒
Hyper Detect:侵略性
Advanced Anti-Exploit:开启
Sandbox Analyzer:侵略性

DrWeb:https://www.bilibili.com/video/BV1t94y1b73Q/
配置修改:无,Beta版

Malwarebytes:https://www.bilibili.com/video/BV13w41167An/
配置修改:无

Cylance(企业版):https://www.bilibili.com/video/BV1bQ4y1s7Zx
配置修改:
内存防护:拦截

Ahnlab:https://www.bilibili.com/video/BV1Pj41147dr
配置修改:无
注:Cleaning Failed的提示检测到的是退出时指令

Sophos:https://www.bilibili.com/video/BV1vG41127ZJ/
配置修改:无

HMPA:https://www.bilibili.com/video/BV11u4y1p7v4/
配置修改:无

SentinelOne(企业版):https://www.bilibili.com/video/BV1aN4y117ri
配置修改:
Protection Level:Remediate
Static AI - Suspicious:开启
Snapshots:关闭

趋势科技:https://www.bilibili.com/video/BV1QC4y1G73L/
配置修改:关闭自动切换高度敏感

CrowdStrike(企业版):https://www.bilibili.com/video/BV12w411C7VY/
配置修改:
Sensor-Based ML:Aggressive
Cloud-Based ML:Aggressive
Scan With CPU:开启

Panda:https://www.bilibili.com/video/BV1Gy4y1K7ae
配置修改:所有Ask Me->Deny

Arcabit:https://www.bilibili.com/video/BV1N94y1b7eo/
配置修改:无

WithSecure(企业版):https://www.bilibili.com/video/BV1cC4y1V7LJ/
配置修改:
Rollback:关闭
DataGuard:关闭
防火墙规则:未配置
注:此配置的目的是让WithSecure的表现尽可能和F-Secure相同

ZoneAlarm:https://www.bilibili.com/video/BV1mH4y1X7vp
配置修改:无

Elastic(企业版):https://www.bilibili.com/video/BV1PN411t7ru/
配置修改:无

Comodo:https://www.bilibili.com/video/BV1T84y1d7sD/
配置修改:无,2024Beta
注:对无脑入沙结果我不发表评论,成绩计为declined to comment

Ikarus:https://www.bilibili.com/video/BV1S34y1g7Qr
配置修改:无

Acronis:https://www.bilibili.com/video/BV1B84y1d7PQ/
配置修改:无

MaxSecure:https://www.bilibili.com/video/BV1mG411278f/
配置修改:无

SUPERAntiSpyware:https://www.bilibili.com/video/BV1Y84y1d7Yt/
配置修改:无

Spybot:https://www.bilibili.com/video/BV1ap4y1T7Kh/
配置修改:无

Webroot:https://www.bilibili.com/video/BV1Jh4y1B7uW/
配置修改:无

Zillya:https://www.bilibili.com/video/BV1bj411v7oc/
配置修改:无

江民赤豹:https://www.bilibili.com/video/BV11e411R7Zw/
配置修改:无
注:注意,此款安全软件仅可激活一次,不要当我这样测完就卸了的冤种

瑞星:https://www.bilibili.com/video/BV13C4y137n2/
配置修改:启发式开启

Zoner:https://www.bilibili.com/video/BV12M41197y6/
配置修改:无

CatchPulse Lite:https://www.bilibili.com/video/BV1iw411F7jx/
配置修改:无

QuickHeal:https://www.bilibili.com/video/BV1gh4y1i7aP/
配置修改:无

K7:https://www.bilibili.com/video/BV1X34y1M7Wt/
配置修改:无

Vibranium:https://www.bilibili.com/video/BV1yN4y1C7JC/
配置修改:无

Padvish:https://www.bilibili.com/video/BV1rN4y1C7Fr/
配置修改:无

评分

参与人数 29经验 +20 原创 +1 分享 +3 人气 +106 收起 理由
yexo + 3 感谢提供分享~
Picca + 3 版区有你更精彩: )
wjy19800315 + 8 很给力!
hsks + 3
jy02587636 + 3 版区有你更精彩: )

查看全部评分

Baby小尧
发表于 2023-10-16 19:00:52 | 显示全部楼层
全部视频已点赞投币,收藏就算了(*^▽^*)

评分

参与人数 1人气 +3 收起 理由
神龟Turmi + 3 这多不好意思

查看全部评分

郢都离人
发表于 2023-10-16 19:04:42 来自手机 | 显示全部楼层
本帖最后由 郢都离人 于 2023-10-16 19:14 编辑

支持!!!
看来腾讯真是个玩具
初心.杰
发表于 2023-10-16 20:30:02 | 显示全部楼层
支持下我大诺顿
失控的指令
发表于 2023-10-16 20:34:54 来自手机 | 显示全部楼层
已三连
UNknownOoo
发表于 2023-10-16 20:41:11 | 显示全部楼层
三连支持一下awa
877906025Z
发表于 2023-10-16 20:44:00 来自手机 | 显示全部楼层
确实玩具腾讯实锤了
dght432
发表于 2023-10-16 20:47:53 | 显示全部楼层
二连支持一下
abc531005
发表于 2023-10-16 21:20:40 | 显示全部楼层
什么时候测试下ESET?
胡淇允
发表于 2023-10-16 21:59:23 | 显示全部楼层
本帖最后由 胡淇允 于 2023-10-16 22:08 编辑

其实你也可以尝试一下Sliver框架

评分

参与人数 1人气 +1 收起 理由
swizzer + 1 最新最热是吧

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-23 18:08 , Processed in 0.133974 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表