【完结】【毒组x帮帮团】如果用攻击企业的方法攻击个人安全软件会怎么样呢？第五期

神龟Turmi

是的，我是说过微软不道歉不做测试了，但是后来想了想，把我和微软的“私人恩怨”上升到这样并不合适
所以我回来了，但是我的参与的测试中将不会再出现Windows Defender

结果统计
https://docs.qq.com/sheet/DRk96Z1Jlamt4aW9J

本期测试不再上传截图，而是改用视频的方式展示测试过程
在今天之前，我们做过4次的类似测试，但是我们都使用了非常热门的渗透框架，并且一直着力于模拟在渗透的前期
今天我想做出一点改变，在参考了MITRE的测试方法以及略微考虑了ATT&CK矩阵之后，让我们把模拟的周期向后靠一些
同时，我学习并使用了两款小众的攻击框架，它们用的人非常少，可能可以模拟黑客自制的工具的效果

在这次测试中，我们将会用到两款渗透框架，分别为Nimbo-C2和PowerHub
其中Nimbo-C2和之前一样，将承担渗透前中期的落地和获得权限任务，而PowerHub的加入旨在模拟中后期的数据窃取和横向移动
由于把整个渗透周期的模拟做了比较大的调整，使用以前的上线成功并执行单一任务计分显然是不合适的
所以在这次测试中我重新设计了计分方式，满分为20分，但是考虑到我是个菜鸡模拟，我的技术不可能和真正的APT组织对比，所以依然及格线是满分
其中，Nimbo-C2和PowerHub会分别生成5个Payload，每个Payload被成功执行并连接上C2则扣除1分，除此之外，我分别设计了5个渗透目的，如果被完成渗透目的则额外再扣1分

下面是本次测试总分20分的具体分布：
Execute Group-A：
01.Nimbo-C2生成的exe样本，除了修改AES-Key和IV，以及自定义了持久化目标的路径，我没有对代码做额外的改动
02.Nimbo-C2生成的exe样本，经过Codevirtual虚拟化混淆
03.Nimbo-C2生成的exe样本，经过VMP变异，未使用虚拟化
04.Nimbo-C2生成的dll样本，设计为由regsvr32直接执行，除了修改AES-Key和IV，以及自定义了持久化目标的路径，我没有对代码做额外的改动
05.Nimbo-C2生成的dll样本，设计为由regsvr32直接执行，经过Codevirtual虚拟化混淆
渗透目的：
06.屏幕截图，获取样本运行时的屏幕显示情况
07.键盘记录，开启后模拟键盘记录获得密码的操作（当然我肯定是随便打开个文本敲几下啦）
08.UAC绕过，利用Windows的设计缺陷获得管理员权限，以方便后续进一步完成目标
09.破坏AMSI，为组B（PowerHub）的无文件Payload的运行创造条件
10.Dump LSASS，通过Dump关键凭据的进程，获得更多的信息，以及为横向移动做准备
Execute Group-B：
11.PowerHub生成的powershell样本，编码后直接使用
12.PowerHub生成的powershell样本，使用zc001开发的混淆（存在已知缺陷，明确可检测）
13.PowerHub生成的powershell样本，编码后使用DH算法加密脚本内容，但未做混淆
14.PowerHub生成的powershell样本，使用am0nsec开发的混淆
15.PowerHub生成的powershell样本，使用MattGraber开发的混淆
渗透目的：
16.GSI，获得一些系统的信息（此处主要用于确认脚本运行成功）
17.代码下载，从C2服务器获得后渗透工具的代码，为横向移动做准备
18.代码执行，执行前一步获得的代码（本测试不包括实际横向移动的模拟，仅运行横向移动工具，请见谅）
19.窃取Edge浏览器密码库密钥
20.窃取Steam SSFN Cookie

本次测试的参与者：
卡饭病毒测试组：@神龟Turmi
卡饭帮帮团：@隔山打空气 @呵呵大神001
无团队成员：@東雪蓮Official @AlphaRabbit @t0kenzero

以下为测试正篇

360：https://www.bilibili.com/video/BV1fw411c7PB
配置修改：无，未开启核晶

360TS：https://www.bilibili.com/video/BV1TB4y1f7Zo
配置修改：无，免费版

奇安信天守：https://www.bilibili.com/video/BV1S84y127fS
配置修改：无

火绒：https://www.bilibili.com/video/BV1th4y1q73r
配置修改：无，视频中忘记测试了一个子项，后续补测结果为MISS

腾讯：https://www.bilibili.com/video/BV1zC4y1G7xh
配置修改：无

华为：https://www.bilibili.com/video/BV1tw411C7Qm
配置修改：无

金山：https://www.bilibili.com/video/BV1Du4y1s777
配置修改：无

卡巴斯基：https://www.bilibili.com/video/BV1i34y1g7wj
配置修改：无，免费版

Checkpoint（企业版）：https://www.bilibili.com/video/BV1vH4y1R77K
配置修改：
含俄罗斯代码（卡巴斯基引擎）版本
Anti-Malware：扫描所有文件，扫描不常见的访问操作
Threat Emulation：启用Win10沙箱
Anti-bot：Prevent Low Confidence
Threat Forensics：Always，隔离未知信誉，结束进程可信信誉

Norton：https://www.bilibili.com/video/BV1Vy4y1N7DW
配置修改：无

Avast：https://www.bilibili.com/video/BV1sw411c7ve
配置修改：无，免费版

Avira：https://www.bilibili.com/video/BV1Bu4y1s7dQ
配置修改：无，免费版

ESET：https://www.bilibili.com/video/BV1gB4y1o7sd
配置修改：无

DeepInstinct（企业版）：https://www.bilibili.com/video/BV1EH4y1d7Ki
配置修改：
D-Brain：拦截中等以上置信度威胁
D-Cloud：开启PUA和Dual-Use Tool检测
行为保护：开启全部
注册到Windows安全中心：是

McAfee：https://www.bilibili.com/video/BV1sM41197UQ
配置修改：无，R112

Emsisoft：https://www.bilibili.com/video/BV1dC4y1G7gc
配置修改：无

GDATA：https://www.bilibili.com/video/BV15M41197ZK
配置修改：无

VIPRE：https://www.bilibili.com/video/BV1494y1b775/
配置修改：无

TotalDefense：https://www.bilibili.com/video/BV1q34y1M7MN
配置修改：无

Bitdefender（企业版）：https://www.bilibili.com/video/BV1fh4y1q7Ao/
配置修改：
On-access Scanning：侵略性+进程内存
ATC：侵略性
Fileless Attack Protection：命令行扫描器+反病毒
Hyper Detect：侵略性
Advanced Anti-Exploit：开启
Sandbox Analyzer：侵略性

DrWeb：https://www.bilibili.com/video/BV1t94y1b73Q/
配置修改：无，Beta版

Malwarebytes：https://www.bilibili.com/video/BV13w41167An/
配置修改：无

Cylance（企业版）：https://www.bilibili.com/video/BV1bQ4y1s7Zx
配置修改：
内存防护：拦截

Ahnlab：https://www.bilibili.com/video/BV1Pj41147dr
配置修改：无
注：Cleaning Failed的提示检测到的是退出时指令

Sophos：https://www.bilibili.com/video/BV1vG41127ZJ/
配置修改：无

HMPA：https://www.bilibili.com/video/BV11u4y1p7v4/
配置修改：无

SentinelOne（企业版）：https://www.bilibili.com/video/BV1aN4y117ri
配置修改：
Protection Level：Remediate
Static AI - Suspicious：开启
Snapshots：关闭

趋势科技：https://www.bilibili.com/video/BV1QC4y1G73L/
配置修改：关闭自动切换高度敏感

CrowdStrike（企业版）：https://www.bilibili.com/video/BV12w411C7VY/
配置修改：
Sensor-Based ML：Aggressive
Cloud-Based ML：Aggressive
Scan With CPU：开启

Panda：https://www.bilibili.com/video/BV1Gy4y1K7ae
配置修改：所有Ask Me->Deny

Arcabit：https://www.bilibili.com/video/BV1N94y1b7eo/
配置修改：无

WithSecure（企业版）：https://www.bilibili.com/video/BV1cC4y1V7LJ/
配置修改：
Rollback：关闭
DataGuard：关闭
防火墙规则：未配置
注：此配置的目的是让WithSecure的表现尽可能和F-Secure相同

ZoneAlarm：https://www.bilibili.com/video/BV1mH4y1X7vp
配置修改：无

Elastic（企业版）：https://www.bilibili.com/video/BV1PN411t7ru/
配置修改：无

Comodo：https://www.bilibili.com/video/BV1T84y1d7sD/
配置修改：无，2024Beta
注：对无脑入沙结果我不发表评论，成绩计为declined to comment

Ikarus：https://www.bilibili.com/video/BV1S34y1g7Qr
配置修改：无

Acronis：https://www.bilibili.com/video/BV1B84y1d7PQ/
配置修改：无

MaxSecure：https://www.bilibili.com/video/BV1mG411278f/
配置修改：无

SUPERAntiSpyware：https://www.bilibili.com/video/BV1Y84y1d7Yt/
配置修改：无

Spybot：https://www.bilibili.com/video/BV1ap4y1T7Kh/
配置修改：无

Webroot：https://www.bilibili.com/video/BV1Jh4y1B7uW/
配置修改：无

Zillya：https://www.bilibili.com/video/BV1bj411v7oc/
配置修改：无

江民赤豹：https://www.bilibili.com/video/BV11e411R7Zw/
配置修改：无
注：注意，此款安全软件仅可激活一次，不要当我这样测完就卸了的冤种

瑞星：https://www.bilibili.com/video/BV13C4y137n2/
配置修改：启发式开启

Zoner：https://www.bilibili.com/video/BV12M41197y6/
配置修改：无

CatchPulse Lite：https://www.bilibili.com/video/BV1iw411F7jx/
配置修改：无

QuickHeal：https://www.bilibili.com/video/BV1gh4y1i7aP/
配置修改：无

K7：https://www.bilibili.com/video/BV1X34y1M7Wt/
配置修改：无

Vibranium：https://www.bilibili.com/video/BV1yN4y1C7JC/
配置修改：无

Padvish：https://www.bilibili.com/video/BV1rN4y1C7Fr/
配置修改：无

Baby小尧

全部视频已点赞投币，收藏就算了(*^▽^*)

郢都离人

支持！！！
看来腾讯真是个玩具

初心．杰

支持下我大诺顿

失控的指令

已三连

UNknownOoo

三连支持一下awa

877906025Z

确实玩具腾讯实锤了

dght432

二连支持一下

abc531005

什么时候测试下ESET？

胡淇允

其实你也可以尝试一下Sliver框架