本帖最后由 22222221 于 2025-9-27 18:38 编辑
国内外消费者端杀毒软件防范 Cobalt Strike 简单攻击能力测试
一、测试说明
众所周知,Cobalt Strike是一个非常流行的攻击框架。那么,国内外消费者端(即个人版)杀毒软件面对以CS为基础的攻击防范如何呢?为保证公平性与可控性,所有杀毒软件均采用默认设置,更新至最新病毒库并重启一次。 二、受测杀毒软件名单(一)国内组1.腾讯电脑管家 2.金山毒霸 3.火绒安全 6.0 4.瑞星 V17 5.360 安全卫士 + 360 杀毒(开核晶) 6.云溪杀毒 7.江民 8.智量终端安全(带这位玩一玩) (二)国外组1.Malwarebytes 2.Avast Free 3.Kaspersky Free 4.Dr Web space 5.Sophos Home 6.Hitmanpro.Alert 7.ESET(ESET Internet Security) 8.Windows Defender 9.Avira Free 三、测试样本名单sample-1:CS 直接生成 EXE 载荷,监听器 http sample-2:在 sample-1 基础上改用 https,后用 Themida 加壳 sample-3:在 sample-1 基础上改用 https,后用 Vmp protect 加壳 sample-4:监听器用 https,使用 Resource Hacker 添加 ico 资源与版本信息,添加伪数字签名 sample-5:使用 CS 生成 powershell 攻击载荷 sample-6:使用 CS 生成 powershell 攻击载荷,但经过 Invoke-Obfuscation 的 Token/dll 混淆器保护 sample-7:使用 CS 生成 shellcode,使用 python 加载器进行加载,shellcode 明文写进 py 文件,使用 Inno Setup 将 python 根目录与 py 文件制作进一个安装包,运行直接执行 pythonw shell.py(监听器使用 https) sample-8:使用 CS 生成 shellcode,使用 cpp 加载器进行加载,shellcode 远程下载并储存于 bin 中并经过 xor 0x39 加密,代码中 rb 读取并 xor 解密后加载。有一些简单反沙箱手段,如调用 Sleep 函数以及检测鼠标运动轨迹(监听器使用 https) sample-9:基本同 sample-8,但是 shellcode 储存在由 DKMC 生成的 bmp 文件中(不经过 xor 加密)(监听器使用 https) sample-10:使用开源项目 shellcodeloader 加载 shellcode(监听器使用 https) sample-11:使用 SEH(或 VEH)技术规避杀软内存扫描(shellcode xor 加密),保留与样本 8 相同的反沙箱功能(监听器使用 https) sample-12:使用 S-inject 进行远程线程注入 wps.exe,dll 尽量绕过杀软静态查杀,然后再将 shellcode 注入到 rundll32.exe 执行(监听器使用 https) sample-13:使用 S-inject 进行 APC 注入 wps.exe,dll 尽量绕过杀软静态查杀,然后再将 shellcode 注入到 rundll32.exe 执行(监听器使用 https) sample-14:白加黑,dll 尽量绕过杀软静态查杀,然后再将 shellcode 注入到 rundll32.exe 执行(监听器使用 https) sample-15:白加黑,黑 dll 经过 themida 加壳,dll 尽量绕过杀软静态查杀,然后再将 shellcode 注入到 rundll32.exe 执行(监听器使用 https) 持久化方式均使用Register-ScheduledTask写计划任务的方式,样本5、6用schtasks写计划任务 四、评分标准该样本无法上线,记为√,得该样本全分;如果能够上线但是持久化失败,记为√,得该样本60%分;如果均没有防御,记为× 等级标准:Approved(100分),Advanced (85-99分), Standard (60-84分), Failed (0-59分)
省流表格:瑞星36分 wd80.4分
表格有些错误
1.腾讯电脑管家 第二个就miss…… 然后powershell写计划任务也不拦截 第三个也miss(计划任务也一个样不多叙述) 第四个居然kill了 第五个第六个又开混,被秒杀
然后有一路miss……,直到第十个才拦截
第十一也是miss但是我没截屏
第十二、十三,成功上线,但是持久化的时候发力了,触发了漏洞攻击(但是我很想吐槽你这个漏洞攻击拦截了个寂寞,你终止了wps.exe但是没锁到rundll32.exe啊,我beacon活的好好的啥事没有,算你持久化防住了)
最后两个,肯定是防不住白加黑的,全部miss
评分:21.8分
2.金山毒霸
第一个开没这一块(还防御不住计划任务)
第五个第六个杀
第七个到第九个全部miss
第十个杀
第十一到十五(全部miss……图片我就不放了)
评分:14分
3.火绒安全6.0
样本六上线,但是持久化时被恶意行为监控杀
样本七到样本九miss……
样本十kill
十一miss到十五(十五图片没有放,毕竟跟十四同类型)
评分:24分
4.瑞星v17
样本一到六杀
七到九miss
十、十一杀
十二到十三miss
接下来最逆天的来了
好消息:瑞星拦截了
坏消息:拦截的不是我伪装的黑dll,把原本软件调用的正常dll当初adware(广告软件)杀了
好消息:黑dll也没有被加载
过程全错,结果对了这一块
不过给分是不可能的,毕竟直接调用黑dll压根拦截不了,只是误打误撞,不仅不给分,还要填上FP
然而就算不算最后两个样本的30分,瑞星也拿到了36分,目前最高
评分:36分
5.360安全卫士+杀毒
样本六居然被上线了,不过持久化被干掉了
样本七开杀
样本十三APC注入寄了,但是持久化还是拦截
十四、十五杀
评分:94.4分
6.云溪杀毒
评分:26分
7.赤豹杀毒(江民)
样本五、六、七、八、九都miss
评分:28分
8.智量终端安全
样本三刚网络保护放行就被k掉
样本八、九被网络保护拦截
十一成功上线,创建计划任务被拦截
十二、十三被杀
十四成功上线,创建计划任务被拦截(虽然说智量没杀到rundll32.exe身上)
十五,直接杀了,应该是因为加了themida的dll被机器学习杀了
评分:92分
国外专场
9.Malwarebytes
第六个一路输到第九个
第十个杀后一直miss……
评分:21分
10.Avast Free
六七八九全部miss……
后面全杀
评分:73分
11.Kaspersky Free
七八九居然MISS了,持久化都没防御住??
后面则是一路杀到尾……
评分:78分
12.Dr Web
样本二、三miss
四、五杀
六到九miss
十 kill
十一到十三miss
(漏了个截图……)
14、15kill
评分:38分
13.Sophos Home(这个完全是过来清场的)
然而最离谱的事是直接把我的隐写shellcode的bmp杀了……
评分:100分
14.Hitmanpro.Alert(同门师兄弟,不必多说,满屏的截获攻击)
评分:100分
15.Microsoft Defender
从样本一杀到样本七(害怕.jpg)
样本八、九,能够上线但是持久化时被杀
从样本十一路杀到样本十二
样本十三上线了,但是持久化时候被杀
后面两个白加黑也是能够上线但是持久化被杀
评分:80.4分(其实相当不错的,没有任何持久化成功,但是上线扣分太多且样本靠后导致只能拿standard评分 )
16.ESET(全杀)
又是一位能直接查杀bmp的……
评分:100分
最后一位Avira
样本六、七、八miss
样本九无拦截弹窗但也无法下载shellcode,算kill
样本11 miss
剩下全杀
评分:71分
| 
[复制链接]
发表于 2025-9-27 14:12:57
楼主
,另外不懂就问:为什么表格里面有两个瑞星而且表现不同?