Як обійти антивірус за 5 хвилин

Як обійти антивірус за 5 хвилин


Паперова безпеку порядком набридла, тому я вирішив трохи відволіктися на практику. Не так давно мені випала нагода особисто переконатися, з якою легкістю зловмисник, що володіє найбільшою мінімальною кваліфікацією, здатний обійти популярні "топові" антивіруси. Сьогоднішній пост присвячений короткої історії поєдинку скрипт-кідді з одним популярним антивірусом.

Якось раз нелегка доля безпечники (від якого часто вимагають вміти все) занесла мене в пентести. Було поставлено завдання перевірити вразливість організації до вірусній атаці.

У компанії використовувалося антивірусне ПЗ від одного з топ-вендорів. Антивіруси були розгорнуті і на серверах (включаючи поштові та проксі-сервери) і на комп'ютерах користувачів. Централізоване управління і оновлення теж було.
Непогана захищеність і невеликий досвід у проведенні пентестов не обіцяли затії особливого успіху.
Однак, практична реалізація показала інше: зловмисник може організувати атаку і обійти засоби антивірусного захисту навіть за допомогою стандартних загальновідомих засобів, доступних практично будь-якого фахівця. Яким чином - описано нижче.

стандартні інструменти
Як вже говорилося, зловмиснику не потрібно мати високу кваліфікацію. Досить навичок скрипт-кідді - знайти підходящий інструмент.
Причому шукати довго не доведеться - все необхідне є в Metasploit Framework.

Як обійти антивірус за 5 хвилин

Але для користувачів є хороша новина: Meterpreter виявляється практично всіма антивірусами. Якщо вивантажити його в exe-файл і «згодувати» VirusTotal, то отримаємо такий результат:

Як обійти антивірус за 5 хвилин

Як бачимо, антивіруси, в переважній більшості, детектували Meterpreterкак шкідливе ПЗ. Це й не дивно: йому вже багато років.
Чи означає це перемогу антивіруса над скрипт-кідді? Не зовсім.

Антивіруси виходять з гри
Після 5 хвилин пошуку в Google знаходиться відразу кілька готових рішень для обходу антивірусів. Познайомимося ближче з інструментом під назвою Shellter (сайт).

Як обійти антивірус за 5 хвилин

Shellter використовується для приховування шкідливого коду в виконуваних файлах Windows. Простіше кажучи, Shellter «вставляє» в нативное 32-розрядний додаток код шкідливої ​​програми, який автоматично починає виконуватися при його запуску. Серед особливостей Shellter можна відзначити мінімальні зміни, що вносяться до структури виконуваного файлу, використання «сміттєвого» коду і можливість кодування «навантаження». Все це ускладнює детектування підсумкового файлу антивірусами.
В автоматичному режимі роботи Shellter вимагає мінімального участі користувача: Next, Next, Next і готово. Спочатку вибирається PE-файл програми, потім - потрібний payload (причому Meterpreter в Shellter вже завбачливо вбудований).
На виході виходить виконуваний файл, в якому прихована «корисна» навантаження у вигляді Meterpreter (або будь-якого іншого коду).

Якщо створити заражений файл за допомогою Shellter і спробувати перевірити його через VirusTotal, то побачимо наступне:


Як обійти антивірус за 5 хвилин

Показник детектування просто катастрофічно впав. Це означає, що більшість антивірусів, встановлених на робочих місцях і серверах не визначився даний файл як небезпечний! На все про все, включаючи установку Shellter, пішло від сили 5 хвилин.
Таким чином, хоча сигнатура трояна відома вже багато років (Metasploit і Meterpreter входять в стандартну збірку Kali Linux), завдяки Shellter популярні антивіруси нічого не можуть з ним вдіяти.


А як на практиці?
Але тест на VirusTotal без випробувань "в поле" не показник. Може бути при роботі троян буде виявлений по поведінковим ознаками? Щоб перевірити це, протестуємо файл на двох популярних антивирусах: Eset (5.0.21.26) і Kaspersky Internet Securiy (17.0.0.611).

Побіжне тестування показує наступне:

Таким чином, антивіруси звичайно обмежують функціонал Meterpreter, але все одно залишають широкий простір для зловмисника.

висновки та рекомендації
Тест ще раз показує, що антивірус не є сам по собі панацеєю. Засоби обходу антивірусного ПО вельми популярні і знаходяться у вільному доступі. Зрозуміло, після завантаження частини заражених файлів на Virustotal, антивірусні бази будуть поповнюватися, і можливості таких засобів будуть скорочуватися. Але для захисту від націлених атак це не допоможе.
Це не означає, що антивірусне ПЗ марно. Просто без належної роботи з персоналом його ефективність може бути зведена нанівець.

Історія закінчилася для користувачів легким "троллінгом": на робочому столі з'явилося запрошення на корпоративний тренінг по ІБ. На тренінгу їм було рекомендовано:

На цьому, мабуть, все.