Meterpreter rilevato da AV

1

Da gennaio ho osservato che meterpreter_reverse_https è stato rilevato da AV anche se la funzione di enablestageencoding è impostata su true. Ho provato a cambiare la firma del meterpreter e impostare handlersslcert su true, senza successo. Dopo questo, ho impostato l'opzione SSL di web_delivery su true ma ho ancora lo stesso problema. Così, sono passato a reverse_tcp_rc4 che ha funzionato perfettamente fino a questo fine settimana. Ora viene rilevato anche da Symantec.

Un punto importante, quando prendo il codice sorgente del meterpreter in PSH ed eseguo direttamente nella console di PowerShell, funziona! Penso che ips rilevi la firma della comunicazione tra la vittima e il server di consegna web.

Qualcuno può spiegarmi come risolvere il problema? Ne ho davvero bisogno perché ho una sessione meterpreter che viene lanciata periodicamente con questo metodo.

    
posta Mohamed Boulanouar 20.02.2017 - 18:32
fonte

2 risposte

1

Trovo dove è il problema, è il modulo di consegna web di metasploit. Penso che IPS stia attivando alcuni header HTTP di questo modulo. Ho aggirato il problema usando il modulo multi handler abbinato a un server usal apache2 e funziona! (non è necessario seguire i passaggi paranoici)

Se qualcuno sa che cosa sta attivando esattamente l'IPS e come possiamo bypassarlo usando il modulo di consegna web. Per favore informami.

Grazie a tutti

    
risposta data 01.03.2017 - 09:20
fonte
0

Mohammad,

La maggior parte degli AV non sta controllando i processi di PowerShell per le sessioni meterpreter al momento.

Ti incoraggio a provare a generare contagocce meterpreter dal framework veil come codice sorgente .py, modificando le variabili, generando un exe con pyinstaller, quindi provandolo.

Happy Hunting.

    
risposta data 21.02.2017 - 22:18
fonte

Leggi altre domande sui tag