______________________________________________________________________________________________________________

HackFix.ru - информационный портал,рассказывающий о событиях в области защиты информации,
взломах,инструментах аудита,программировании для пентестеров!

Pentesting с Powershell: обхода AMSI и отключить защитник Windows с iBombshell
!!!Важно!!!
Вся информация предоставлена исключительно в ознакомительных целях. Ни автор, ни администрация портала не несут ответственности за любой возможный вред, причиненный материалами данной статьи.Применение в корыстных целях карается законодательством РФ.

Функция Bypass-AMSI

В этой статье вы можете познакомится с функцией Bypass-AMSI. Проблема, с которой мы столкнулись, заключается в том, что функция была обнаружена самой AMSI как вредоносная, поэтому она не запускалась в Windows 10. Это логично.

Первым делом было проверить путь создания DLL с кодом, указанным в статье, написанной на C#. Затем используйте DLL внутри процесса Powershell, чтобы отключить AMSI. Это мы уже видели в предыдущей статье.

Мы хотели реализовать метод DLL. Для этого мы создали функцию под названием amsi-dlldisk. Эта функция будет делать следующее:

1. Загрузите DLL, которую мы загрузили в репозиторий GitHub ibombshell.

2. Запуск загрузки DLL в процессе Powershell.

3. Запустите метод «Disable» DLL, чтобы отключить AMSI.

Как вы можете видеть во время работы над этим можно было увидеть новый способ сделать это, не проходя через диск, который всегда интересен. Для этого мы использовали исходную функцию Bypass-AMSI, но мы использовали одну из стратегий уклонения от AMSI, которая была не чем иным, как конкатенацией строк.

Если мы проанализируем строку в base 64, мы увидим, что AMSI обнаруживает ее как что-то вредоносное. Разрезание string на несколько кусков может быть попыткой уклониться от защиты. Что-то простое, но функциональное.

В этом случае он был разделен только на фрагмент, который AMSI обнаруживает это как вредоносное, поэтому функция, которая может быть отображена ниже, не приводит к тому, что AMSI обнаруживает функцию как плохую.

Защитник Windows и что будет дальше

Правда, обход AMSI дает нам интересный путь для загрузки скриптов и функций, например, в память. Следует отметить, что, кроме того, мы должны сделать что-то, чтобы уклониться от AV. В Windows 10 после обхода AMSI, если мы используем публичные скрипты, такие как Mimikatz, у нас будут проблемы с защитником Windows.

По этой причине ibombshell была включена функция, которая позволяет отключить мониторинг в режиме реального времени защитника Windows, хотя для этого вы должны иметь привилегию в системе.

Функция проверяет наличие прав администратора и отключает мониторинг в режиме реального времени, если он активен. Таким образом, использование DLL на диске, скрипты, другой тип файлов будет намного незаметнее.

Ссылки на ibombshell:

MacOS & Windows: Pentesting it with ibombshell
ibombsehll: Whitepaper disponible
ibombshell: Shell de pentesting en MacOS con Powershell
ibombshell 0.0.1b liberada en el repositorio GitHub de ElevenPaths
ibombshell: Crear una función de pentesting para MacOS
ibombshell: Crear un módulo de extracción de claves privadas SSH en Windows 10
ibombshell 0.0.1b en GitHub & Environment Injection UAC Bypass en Windows 10
ibombshell: Mocking Trusted Directories UAC Bypass en Windows 10
ibombshell en Black Hack Europe 2018: Nuevas Funciones

 

Добавить комментарий

Ваш e-mail не будет опубликован.

______________________________________________________________________________________________________________
^ Наверх