Jim83 Blog

Методы обхода антивирусов, Серверы C2, как защитить вашу сеть

Оставьте комментарий / От /

Введение в методы обхода антивирусных программ для серверов управления и контроля (C2)

Первая цель хакеров — удаленное управление сетью компании без какого-либо вмешательства администратора, хакеры могут использовать методы защиты от вирусов, чтобы скрыть код агента c2 внутри законной программы, используемой для лазейки, вторая цель хакеров — установить незамеченное безопасное соединение с системой управления и контроля (C2)

В этой статье рассматривается использование серверов управления и контроля (C2) для хакерских атак и подробно описываются различные методы уклонения от обнаружения антивирусом. Каков процесс создания сервера C2?Как получить доверенный SSL-сертификат для необнаруженного обратного подключения? Как хакеры обходят антивирусную защиту через внедрение DLL?

Мы обсудим известные техники скрытия кода агента C2, К примеру, использование Office макро.

Темы, которые мы рассмотрим:

  • Создание C2-сервера и доверенного SSL-сертификата
  • Обход антивирусной защиты с помощью шестнадцатеричной и DLL-инъекции
  • Скрытие кода агента C2 в макросах Office
  • Анализ вредоносного ПО Virustotal для обхода антивирусной программы «Windows Defender»
  • Расширенные методы сокрытия и контроля агентов C2
Серверы управления и контроля (C2) C2 Beaconing traffic
Command and Control (C2) C2 Beaconing

Победа над антивирусом Windows с помощью кода агента C2 и обхода AMSI

Кроме того, сокрытие агента управления и контроля (C2) и избегание обнаружения антивирусным программным обеспечением считается сложной задачей, поскольку злоумышленнику неизвестен тип антивируса.

Сервер управления и контроля (C2), который мы решили использовать в нашей лаборатории, основан на платформе PowerShell Empire, а код агента, который мы создали, основан на PowerShell.

Антивирусом в нашей лаборатории является Защитник Windows, однако имейте в виду, что методы внедрения DLL, которые мы используем для обхода антивируса Windows, также работают для многих других антивирусных программ, таких как McAfee и Crowdstrike.

Любые скрипты PowerShell которые пользователи пытаются запустить, проверяются с помощью антивирусной программы «Windows Defender»

ОС в нашей лаборатории — это полная обновлённая Windows 10, с доступом в интернет без каких-либо ограничений.

Когда пользователь открывает консоль Powershell, файл с именем AMSI.dll загружается в память и проверяет, не содержит ли каждый сценарий Powershell вредоносных программ.

Антивирусная защита AMS, сканирование скриптов powershell
PowerShell scripts scanned by anti virus

Создание обратного подключения с сервером C2 и процессом PowerShell

Техника удаленного управления компьютером жертвы с использованием обратного подключения. Злоумышленник устанавливает сервер управления и контроля (C2), который он может использовать для удаленного выполнения команд на машине жертвы. Команды передаются по сети с помощью PowerShell,

Злоумышленник может использовать эту технику для удаленного доступа и управления компьютером жертвы, а также для извлечения данных из сети жертвы.

git clone –recursive https://github.com/BC-SECURITY/Empire.git
cd empire
sudo ./setup/install.sh
sudo poetry install

Создание доверенного SSL-сертификата для вашего C2-сервера

sudo add-apt-repository ppa:certbot/certbotsudo apt-get updatesudo apt-get install certbotTo request a certificate, it is required to open Port 80sudo certbot certonly –standalone –preferred-challenges http https://xxx.westeurope.cloudapp.azure.com

Расширённые шаги методов для сокрытия и контроля агентов C2

  1. Создать агент base64
  2. Проверить агент c2 на Virus Total (необязательно)
  3. Обойти функцию AMSI (интерфейс сканирования на наличие вредоносного ПО)
    1. Внедрение нашего файла dll в процесс PowerShell
    2. Проверить наш обход антивирусной защиты AMSI
  4. Преобразование кода агента c2 в шестнадцатеричный формат
  5. Протестируйте еще раз наш новый код агента c2 с помощью Virus Total.

Методы обхода антивирусов, проверка кода агента c2 на Virus Total

PowerShell empire предоставляет возможность создавать несколько агентов, новый код агента кодируется только кодировщиком на основе 64.

Кодировка Base64, избежание обнаружения антивирусным программным обеспечением
Скрыть загрузку, используя кодировку base64

Без каких-либо методов защиты от вирусов наш новый код агента C2 обнаруживается как вредоносное ПО, когда мы проверяем его с помощью Virus Total.

Обнаружение агента powershell empire используя Virus Total.
Virus Total обнаруживает наш агент c2 в Powershell Empire

Чтобы избежать обнаружения большинством антивирусных программ, злоумышленник может преобразовать код агента C2 в шестнадцатеричный, а затем загрузить его в память с помощью переменной.

Методы обхода антивируса и анализ вредоносных программ Virus Total

Только в образовательных целях!

Чтобы обойти практически любой антивирус, вы можете использовать эти строки кода:

Обход антивируса с помощью внедрения dll
Методы обхода антивируса обходя защиту AMSI

Чтобы избежать обнаружения большинством антивирусных программ, преобразуйте код агента c2 в шестнадцатеричный формат, а затем загрузите его в память с помощью переменной.

Шестнадцатеричный код в памяти может выполняться с использованием модуля powershell invoke-expression, запуск скрипта выполнит код агента c2, запустит обратное подключение. Этот метод называется безфайловым методом.

Антивирус Windows Defender не обнаружил наш новый код агента C2, и теперь мы контролируем нашу защищенную Windows машину 🙂

Чтобы убедиться, что наш новый код агента не содержит вредоносного ПО, мы загрузили файл на VirusTotal, файл был одобрен как безопасный для использования.

Методы обхода антивируса с использованием различных инструментов и методов
Методы обхода антивируса с использованием различных инструментов и методов

Расширённые методы сокрытия и контроля агентов C2

Злоумышленник может скрыть загрузку среди законных файлах, таких как PDF или документ Microsoft Office, внедрив в них вредоносную загрузку.

Наиболее часто используемые варианты скрытия загрузки:

  • Файл Office с макро
  • Объект в файле Office
  • Формула (DDA) для файла Office
  • Скачать файл по ссылке
  • Нулевой день(атака) в законной программе

Скрытие кода агента C2 в макросах Office

В нашей тестовой среде мы решили использовать офисный файл, содержащий макрос, мы создали сценарий PowerShell, содержащий все необходимые файлы, необходимые для обхода AMSI.dll.

Во избежании обнаружения антивирусом, мы поиграем с нашей новой загрузкой и поместим наш скрипт PowerShell в EXE-файл с помощью модуля ps2exe.

Обход антивируса с использованием скрытого exe-файла в файле макроса

Когда пользователь запускает макрос, на его устройство загружается «безопасный» exe-файл, а затем автоматически загружаются все необходимые файлы.

Этот метод называется разделённым вредоносным ПО.

Что такое метод разделения вредоносного ПО? Злоумышленник доставляет первую часть вредоносного ПО, которая обычно представляет собой небольшой и безобидный на вид файл. Как только эта первая часть выполняется, она загружает и устанавливает вторую часть вредоносного ПО, которая является фактической вредоносной загрузкой.

Использование метода разделения вредоносного ПО для методов обхода антивируса

Через 5 секунд процесс exe остановится и удалит себя. Агент c2 будет работать как новый процесс PowerShell, что сделает обратное проектирование весёлым 🙂

Постоянство серверов управления и контроля (C2) и удаленное управление

Агент c2 может быть завершён, если пользователь перезагрузит свой компьютер или вмешается администратор. Поэтому важно использовать метод сохраняемости, чтобы поддерживать агент C2 в рабочем состоянии.Использование метода разделения вредоносного ПО для методов обхода антивируса

Техника метода постоянства:

  • Изменение процесса загрузки системы. Злоумышленник может изменить процесс загрузки жертвы, чтобы вредоносное ПО запускалось каждый раз при загрузке ПК.
  • Злоумышленник может добавить ярлык вредоносной программы в папку автозагрузки жертвы, в результате чего вредоносная программа будет автоматически запускаться при каждом запуске компьютера.
  • Злоумышленник может изменить реестр жертвы, чтобы убедиться что вредоносное ПО выполняется при соблюдении определенных условий, например при запуске определенного приложения или при входе пользователя в систему.
  • Создание запланированной задачи. Злоумышленник может создать запланированную задачу, которая запускает вредоносное ПО в определенное время или регулярно.

Используя методы сохраняемости, злоумышленники могут гарантировать, что их вредоносное ПО остается активным на компьютере жертвы и может продолжать работу, даже если жертва предпримет шаги для удаления вредоносного ПО.

powershell empire c2 сервер, модули, постоянство и методы обхода антивируса
Удаленное управление сервером c2 windows 10

Итог

Злоумышленник может использовать уязвимости и перемещаться внутри сети после получения контроля над сетью. Мы предоставили информацию об использовании C2-сервера и обсудили способы уклонения от обнаружения антивирусом и сокрытия кода C2-агента.

Чтобы обнаружить и защитить вашу сеть от сервера powershell Empire C2, продолжайте читать наши рекомендации по защите сети

Оставьте комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Подпишитесь на нашу бесплатную рассылку для ежедневных обновлений безопасности

Следуй За Нами

ВСЕ ПРАВА ЗАЩИЩЕНЫ SMARTIOT 2023 | МЫ ЛЮБИМ ВАС GOOGLEBOT

Прокрутить вверх