Da gennaio ho osservato che meterpreter_reverse_https è stato rilevato da AV anche se la funzione di enablestageencoding è impostata su true. Ho provato a cambiare la firma del meterpreter e impostare handlersslcert su true, senza successo. Dopo questo, ho impostato l'opzione SSL di web_delivery su true ma ho ancora lo stesso problema. Così, sono passato a reverse_tcp_rc4 che ha funzionato perfettamente fino a questo fine settimana. Ora viene rilevato anche da Symantec.
Un punto importante, quando prendo il codice sorgente del meterpreter in PSH ed eseguo direttamente nella console di PowerShell, funziona! Penso che ips rilevi la firma della comunicazione tra la vittima e il server di consegna web.
Qualcuno può spiegarmi come risolvere il problema? Ne ho davvero bisogno perché ho una sessione meterpreter che viene lanciata periodicamente con questo metodo.