渗透测试学习笔记12.4. 规避防病毒软件测试
规避防病毒软件测试
入侵系统时遇到的最大障碍之一就是目标系统中的防病毒软件。虽然并非所有系统都安装了防病毒应用程序,但是必须假设系统中存在防病毒应用程序,他会向系统所有者发出警报,告知攻击者正在采取行动。考虑到这一点,在此简要介绍一下,如何应对这一问题。
可用于规避防病毒软件检测的方法包括:
从零开始制作自己的病毒
这种方法最耗时,但也是最有用、最可靠地将一个有效恶意软件植入系统中的方式方法。如果完全从头开始制作一个恶意软件,只要足够小心并进行大量测试,即可轻松绕过某个目标的防御——防病毒软件可能从未见过它,因而不会对其作出反应。
使用Evade等第三方程序修改恶意软件包
使用Evade程序可以改变现有恶意软件的大小和特征,这意味着使其更难以发现。
修改现有的恶意软件
实际情况是,在互联网上可以找到大量以编译后和未编译形式存在的恶意软件,利用后者,黑客可以获得源代码并创建某个现有恶意程序家族的一个新变种。如果做法正确,会得到一些不同的软件,其差异大到足以被扫描仪发现。由于大多数(如果不是全部)防病毒软件都要部分依赖于一个己知病毒、蠕虫和其他有害对象的数据库,因此,有可能通过充分修改现有代码使其在库中没有匹配项,因而不会被检测到。
使用病毒制作工具包
这些工具包只需要按下一个按钮即可创建现有家族的变种。虽然这种方法非常简单方便,但是使用工具有易于捕捉的缺点,从而导致它们规避现有检测机制的有效性大大降低。
在将一个悉意软件成功植入一个站点并运行后,它就可以执行其肮脏的工作。尽管规避是通过防御措施的关键环节,但次要和额外的行动通常采用类似停用防火墙或反病毒/恶意软件的方式,允许采取攻击性强烈得多的行动。
此类操作之一是通过采用诸如netcat、Cryptcat甚至sbd(某种程度上它是一种netcat的克隆)等实用程序植入后门。
在制作恶意软件过程中,规避防病毒软件或在系统上安装制作的后门的做法称为隐蔽通道(covert channel)。
在使用恶意软件时,应该了解隐蔽通道和公开通道的术语。两者的区别在于,公开通道是设计好的,代表了使用系统或流程的合法或预期的方式,而隐蔽通道则以某种非预期的方式使用系统或进程。
在讨论的这些方法中,隐写术是一个被认为属于隐蔽通道的方法。如果没有经过仔细检查,人们不会认识到图像、视频文件或音频文件在其正常功能之外还携带有其他载荷(例如:人们认为一幅图片应该包含视觉信息和属性,而不应该有其他东西)。
特洛伊木马是另外一个很好的例子。特洛伊木马的设计目的是,在发送信息或者接收从别处发出指令的同时,隐藏到视线之外。使用隐蔽通道,意味着信息和通信有可能绕过那些没有针对感知和检测此类行为设计或定位的检测机制。
关于 LearnKu
粤公网安备 44030502004330号