Meterpreter HTTPS rilevato da IPS

Naviga le tue risposte
3

Sono impegnato con i test di sicurezza su una rete di clienti e mi è stato chiesto di mostrare quanto è semplice evasione AV. Ho creato un bel file HTTPS inverso con powershell tramite veil-evasion, che non viene rilevato da Symantec virusscanner (test con Norton Deluxe).

Quindi è stato abbastanza facile, ma quando lo eseguo, la parte IPS di virusscanner (l'ho testata, è puramente l'IPS) rileva ancora il traffico di rete meterpreter. Per quanto posso vedere con Wireshark, la connessione arriva al messaggio "Hello, Certificate, Server Hello Done" e viene ucciso lì e là.

La mia domanda è: come l'IPS rileva questo? Cosa nel messaggio meterpreter sta attivando questo IPS? E poi, cosa usare per aggirare questo ancora usando meterpreter (e non dover scrivere la mia backdoor)?

    
posta Wealot 09.01.2017 - 09:09
fonte

2 risposte

2

Penso che non possiamo sapere esattamente come rileva l'IPS. Potrebbe essere qualcosa di simile a firma / regola diversa tra i fornitori IPS. A proposito, ci sono molti artefatti che possono essere utilizzati per identificare HTTPS inverso, ad esempio da questo vecchio articolo nel blog di NETRESEC , parla delle stesse caratteristiche nei certificati X.509 usati nel reverse HTTPS di Metasploit.

Aggiornamento 1 : alcuni IPS sono in grado di analizzare il protocollo integrato SSL / TLS fungendo da intermediario tra te e la tua destinazione, ma devi accettare il suo certificato.

Aggiornamento 2 : ad esempio, regola Snort 34864 di Didier Stevens utilizzato per rilevare Metasploit Meterpreter reverse HTTPS dal contenuto del suo certificato. Ti suggerisco di scaricare e cercare Metasploit Meterpreter reverse HTTPS certificate in community.rules file

    
risposta data 10.01.2017 - 08:31
fonte
3

Per impostazione predefinita, Metasploit genera certificati autofirmati con un CN casuale a 4 caratteri. È probabile che alcuni aspetti di tale certificato siano ciò su cui viene attivato l'IPS.

Puoi eseguire l'override fornendo un certificato in formato PEM nell'opzione avanzata HandlerSSLCert .

    
risposta data 10.01.2017 - 16:47
fonte

Leggi altre domande sui tag

Diverse versioni SSL / TLS su sottodomini utilizzando un certificato jolly Il collegamento per la reimpostazione della password dovrebbe scadere quando si fa clic o attendere fino al completamento e al completamento del ripristino?