趋势科技的网络攻击（包括C2回连）测试工具

显示全部楼层 · 发表于 2024-5-22 14:12:02

本帖最后由神龟Turmi 于 2024-5-22 14:13 编辑

最近不是Norton换Avast技术栈之后还有没有IPS的问题闹的沸沸扬扬吗
刚好，趋势科技在企业版中提供了一个测试工具，可以模拟网络攻击和C2回连的流量
因为是Powershell写的，需要配置成允许执行PS1脚本或者直接复制内容到Powershell中运行

下载：
https://k00.fr/2uer3hnk | password: turtle
https://share.weiyun.com/x0Sik57c
解压密码：TrendMicroBAS

目前已知NortonV22可以检测到，卡巴斯基和Avast没有反应
是否准确不谈，至少可以反映出NortonV24是否还包含了Symantec的IPS组件
所有流量都是模拟的，不会造成实际危害，可以放心的实机测试

（感谢@GreatMOLA 的测试结果）

显示全部楼层 · 发表于 2024-5-22 15:54:19

本帖最后由 kuroandsan 于 2024-5-22 15:57 编辑

Norton V24 看来是让大家失望了

显示全部楼层 · 发表于 2024-5-22 14:29:02

本帖最后由 Luca.l 于 2024-5-22 14:35 编辑

试了下在笔记本上的ESET

日志显示
2024/5/22 14:22:13;
安全漏洞利用尝试;
已阻止;
192.168.220.119:53970;192.168.220.119:445;
TCP;
SMB/Exploit.DoublePulsar.B;
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe;
Windows PowerShell;
7C04EC2377E32B3C7742F581F6C5437464DD2CF2;

显示全部楼层 · 发表于 2024-5-22 14:34:03

我猜Norton V24没反应

显示全部楼层 · 发表于 2024-5-22 14:57:22

symantec纯墙好像没反应

但是idefender弹出来了

显示全部楼层 · 发表于 2024-5-22 15:11:07

啊，这个，其他安全软件还没反应，运行就被智量给干掉了。

显示全部楼层 · 发表于 2024-5-22 15:14:33

x-天秤座发表于 2024-5-22 15:11
啊，这个，其他安全软件还没反应，运行就被智量给干掉了。

这不是样本区啊喂怎么还测起杀本体来了。。。

显示全部楼层 · 发表于 2024-5-22 15:15:39

K家standard无反应。。。

感觉综合征又要发作了。。。

显示全部楼层 · 发表于 2024-5-22 15:16:29

卡巴有个神奇的脑回路就是你前面无论做了什么，后面不跟一个payload执行就不愿意触发拦截。
就很难判断它的不拦截到底是没检测到还是没这个特征还是单纯的按照它自己的标准来看还不需要拦截

显示全部楼层 · 发表于 2024-5-22 15:17:56

呼叫@kuroandsan

显示全部楼层 · 发表于 2024-5-22 15:21:27

神龟Turmi 发表于 2024-5-22 15:14
这不是样本区啊喂怎么还测起杀本体来了。。。

不是啊，是把你那个文件右键选择“使用powershell运行”后，被智量给杀掉了。

显示全部楼层 · 发表于 2024-5-22 15:24:53

感谢神龟的引用～

Norton V22的IPS成功防御了此测试脚本中的所有的攻击方式，包括CobaltStrike回连、永恒之蓝利用与双脉冲星攻击。这基本可以代表个人安全产品在网络层入侵防御上的最高水平。

作为一个Norton fans，看到现在的Norton V24产品真是有点意难平。希望Windows端的Norton V24产品能保留原来的IPS体系吧。。。

显示全部楼层 · 发表于 2024-5-22 15:26:46

aikafans 发表于 2024-5-22 14:57
symantec纯墙好像没反应
但是idefender弹出来了

我测试了SEP纯墙，确定SEP的IPS也可以100%拦截，你看看是不是iDefender影响。

显示全部楼层 · 发表于 2024-5-22 15:30:59

x-天秤座发表于 2024-5-22 15:21
不是啊，是把你那个文件右键选择“使用powershell运行”后，被智量给杀掉了。

我的意思是这个脚本的测试方法应该确保不受到静态/主防的干扰单纯的看网络连接是否被阻止
因为这是模拟漏洞利用和C2回连网络行为的如果被静态/主防杀了没有任何意义这不是真的恶意Payload

显示全部楼层 · 发表于 2024-5-22 15:41:50

ii88 发表于 2024-5-22 15:15
K家standard无反应。。。
感觉综合征又要发作了。。。

忍住啊
这美好的一切马上就要消散了啊

显示全部楼层 · 发表于 2024-5-22 15:50:59

神龟Turmi 发表于 2024-5-22 15:30
我的意思是这个脚本的测试方法应该确保不受到静态/主防的干扰单纯的看网络连接是否被阻止
因为这是模 ...

那就是智量的问题，不过没关系，关闭后，ESET有用，和上面某位朋友一样。

显示全部楼层 · 发表于 2024-5-22 15:55:24

kuroandsan 发表于 2024-5-22 15:54
Norton V24 看来是让大家失望了

看来IPS组件已经消失，意难平啊！

再见吧！Norton！

显示全部楼层 · 发表于 2024-5-22 15:58:26

kuroandsan 发表于 2024-5-22 15:54
Norton V24 看来是让大家失望了

此处@anthonyqian

显示全部楼层 · 发表于 2024-5-22 16:02:06

GreatMOLA 发表于 2024-5-22 15:26
我测试了SEP纯墙，确定SEP的IPS也可以100%拦截，你看看是不是iDefender影响。

恩，也有可能，我等下再测试一下，谢谢

显示全部楼层 · 发表于 2024-5-22 16:09:06

提示: 该帖被管理员或版主屏蔽

aikafans 头像被屏蔽	发表于 2024-5-22 16:09:06 \| 显示全部楼层提示: 该帖被管理员或版主屏蔽
aikafans 头像被屏蔽
	回复举报

[其他相关] 趋势科技的网络攻击（包括C2回连）测试工具

本帖子中包含更多资源

评分

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

评分

评分

浏览过的版块