Антивіруси під ударом обхід антивірусного захисту за допомогою 10 рядків коду

Перед тим як буде представлений той самий код обходу захисту на мові С ++, варто відзначити ефективний інструмент створення довічних файлів, які майже завжди уникають виявлення - це Veil-Evasion (частина Veil-Framework). Даний інструмент дійсно дуже ефективний в більшості випадків, а згенеровані файли часто успішно проходять перевірку VirusTotal.

Абсолютно логічно виникає питання: якщо є інструменти на зразок Veil Evasion, навіщо потрібно морочитися зі створенням бінарників з корисним навантаженням оболонки?

На це є ряд причин:

• Інструменти мають тенденцію застарівати;
• Бінарні файли, згенеровані інструментами, можуть бути ідентифіковані - причому не обов'язково корисне навантаження, а структура виконуваного файлу;
• Пентестери повинні знати, як потрібно створювати виконавчі файли самостійно.

Все дуже просто: наведений код створює масив символів з кодом оболонки, який Ви можете додати, виконує операцію XOR з дуже чутливим ключем з малими "x", виділяє деяку пам'ять і виконується. Варто підкреслити, що вам потрібно обернути в XOR ваш код оболонки з ключем перед компіляцією.

Бінарний файл, який буде згенерований, можливо не буде відповідати SHA256 тестового прикладу. У завантаженому бінарники код оболонки був згенерований за допомогою фреймворка Metasploit.

висновок

Отже, антивірус мертвий. Ми все це знаємо. Як говориться: ми не можемо стверджувати, що 95 відсотків компаній покладаються на антивірусний захист для підтримки безпеки робочих станцій.

Чи є спосіб краще? Безумовно. Деякі вендори, які ми не будемо називати, запустили продукти, що представляють новий підхід для захисту робочих станцій, які націлені на виявлення технік експлойтів. Це, як правило, здійснюється шляхом ін'єкції DLL в процеси, які виконують моніторинг подібних технік і запобігають їх успішну роботу.

Примітка: представлене рішення може працювати не з усіма антивірусами.