Bazaprogram.ru

Новости из мира ПК
5 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Защита от эксплойтов

Как настроить Защиту от эксплойтов в Windows 10

Exploit Guard- новая функция безопасности Защитника Windows, которая была впервые представлена Microsoft в Windows 10 Fall Creators Update.

Защита от эксплойтов представляет собой интегрированную версию инструмента Microsoft EMET (Enhanced Mitigation Experience Toolkit), поддержка которого завершится в середине 2018 года.

Защита от использования уязвимостей включена по умолчанию, если активен Защитник Windows. Эта функция является единственной функцией Exploit Guard, которая не требует включения защиты в режиме реального времени.

Данную функцию можно настроить в Центре безопасности Защитника Windows, с помощью групповых политик или команд PowerShell.

Центр безопасности Защитника Windows

Пользователи Windows 10 могут настроить защиту от эксплойтов в Центре безопасности Защитника Windows.

  1. Используйте сочетание клавиша Windows + I для запуска приложения “Параметры”.
  2. Перейдите в “Обновление и безопасность”, затем выберите пункт “Защитник Windows”.
  3. Нажмите кнопку Открыть Центр безопасности Защитника Windows.
  4. Выберите панель “Управление приложениями и браузером”.
  5. На открывшейся странице выберите ссылку Параметры защиту от эксплойтов.

Все настройки разделены на две категории: Системные параметры и Параметры программ.

На вкладке Системные параметры выводится список всех доступных механизмов защиту с их статусом. В Windows 10 Fall Creators Update доступны следующие защиты:

  • Защита потока управления (CFG) — вкл. по умолчанию.
  • Предотвращение выполнения данных (DEP) — вкл. по умолчанию.
  • Принудительное случайное распределение для образов (обязательный ASLR) — выкл. по умолчанию.
  • Случайное распределение выделения памяти (низкий ASLR) — вкл. по умолчанию.
  • Проверить цепочки исключений (SEHOP) — вкл. по умолчанию.
  • Проверка целостности кучи — вкл. по умолчанию.

Параметры программ дают вам возможность настраивать защиту для отдельных программ и приложений. Данная опция работает аналогично функции исключений в Microsoft EMET для определенных программ. Данная возможность будет особо полезной, если программа ошибочно работает, когда включены определенные защитные модули.

По умолчанию несколько программ добавлены в исключения, в частности svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe и другие основные программы Windows. Обратите внимание, что вы можете переопределить эти исключения, выбрав файлы и нажав кнопку “Редактировать”.

Нажмите ссылку “Добавление программы для индивидуальной настройки”, чтобы добавить приложение в список исключений.

Вы можете установить отдельный статус всех поддерживаемых защит для каждой программы, которую вы добавили в настройках программы. Помимо переопределения системного параметра по умолчанию и принудительного его включения или отключения, существует также возможность установить параметр только для аудита. В последнем случае будет происходить запись событий, которые происходили, если бы статус защиты был включен, в системный журнал Windows.

В списке “Параметры программ” перечислены дополнительные параметры защиты, которые невозможно настроить под системными параметрами, поскольку они настроены для работы только на уровне приложения.

  • Защита от произвольного кода (ACG)
  • Блокировка образов низкой целостности
  • Блокировка удаленных образов
  • Блокировка ненадежных шрифтов
  • Защита целостности кода
  • Отключение точек расширения
  • Отключение вызовов системы Win32k
  • Не разрешать дочерние процессы
  • Фильтрация адресов экспорта (EAF)
  • Фильтрация адресов импорта (IAF)
  • Имитация выполнения (SimExec)
  • Проверка вызовов API (CallerCheck)
  • Проверка использования дескриптора
  • Проверка целостности зависимостей образа
  • Проверка целостности стека (StackPivot)

PowerShell

Вы можете использовать командную строку PowerShell для установки, удаления или изменения списка мер. Доступны следующие команды:

Чтобы просмотреть все защитные меры указанного процесса: Get-ProcessMitigation -Name processName.exe

Чтобы установить защитную меру: Set-ProcessMitigation — — , ,

Область действия: -System или -Name .

Действие: либо -Enable или -Disable .

Мера: название защитной меры. Обратитесь к таблице на сайте Microsoft, чтобы посмотреть список доступных мер. Вы можете отделить несколько мер запятой.

  • Set-Processmitigation -System -Enable DEP
  • Set-Processmitigation -Name test.exe -Remove -Disable DEP
  • Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll, dllName2.dll

Импорт и экспорт конфигураций

Конфигурации можно импортировать и экспортировать. Данные операции можно сделать на странице “Параметров защиты эксплойтов” в Центре безопасности Защитника Windows, а также с помощью PowerShell или редактора групповых политик.

Кроме того, конфигурации EMET можно преобразовать для последующего импорта.

Использование настроек защиты от эксплойтов

Вы можете экспортировать конфигурации в приложении “Центр безопасности Защитника Windows”, но не импортировать их. Экспорт добавляет все меры уровня системы и уровня приложения.

Нажмите ссылку “Параметры экспорта” и выберите местоположение для файла .XML с настройками.

Использование PowerShell для экспорта файла конфигурации

  1. Откройте Powershell с правами администратора устройства.
  2. Запустите команду: Get-ProcessMitigation -RegistryConfigFilePath filename.xml

Измените путь и filename.xml, указав требуемое местоположение и название файла.

Использование PowerShell для импорта файла конфигурации

  1. Откройте Powershell с правами администратора устройства.
  2. Запустите команду: Set-ProcessMitigation -PolicyFilePath filename.xml

Использование групповых политик для установки файла конфигурации

Вы можете установить файлы конфигураций с помощью редактора групповых политик:

Скрытая настройка во всех компьютерах на Windows 10 значительно повышает скорость работы

Операционная система Windows 10 является одной из самых сложных и запутанных для начинающих пользователей. Прямо «из коробки» она просто работает, но если требуется настроить ее каким-то особым образом, то это может повлечь за собой множество проблем. Оказывается, что во всех компьютерах и прочих устройства, работающих на базе последней сборки этой ОС, есть скрытая от посторонних глаз настройках, которая значительно повышает скорость работы всей системы.

После обновления до Windows 10 Fall Creators Update (1709) все владельцы компьютеров и планшетов должны были заметить, что система стала работать ощутимо медленнее. Особенно сильно это заметно на компьютерах с обычными жесткими дисками (HDD) и слабеньким процессором. Сначала многие подумали, что дело в неправильно работающих драйверах видеокарты, которые после установки апдейта начали работать некорректно, однако эта гипотеза была очень быстро опровергнута.

Пользователи выяснили, что даже самые крутые 3D-игры на максимальных настройках не тормозят, тогда как многие системные программы в Windows 10 очень сильно «тупят». Наиболее сильно это заметно при работе с приложением «Проводник», который позволяет работать с файлами. Зачастую некоторые папки открываются по одной минуте, от чего многие пользователи в бешенстве.

Оказалось, что Microsoft добавила во все компьютеры на базе Windows 10 новую разработку под названием Control Flow Guard. Это своего рода специальная защита, направленная на борьбы с уязвимостями, связанными с повреждениями памяти. Защита защитой, но она в несколько раз снижает скорость работы всей операционной системы, причем отключить ее, на первый взгляд, невозможно.

К счастью, была обнаружена скрытая настройка, которая значительно повышает скорость работы всех компьютеров на Windows 10. Для этого необходимо запустить «Защитник Windows», а затем перейти в раздел «Управление приложениями и браузеров». Потребуется открыть подраздел «Параметры защиты от эксплойт», после чего отключить защиту CFG (Control Flow Guard). Чтобы все начало работать потребуется перезагрузить компьютер.

Читать еще:  Защита протект яндекс

После выполнения этих действий и перезагрузки компьютера, он начнет работать в разы быстрее, поскольку фирменная система защиты Control Flow Guard перестанет использоваться. Зачем Microsoft принудительно включала эту настройку для всех – неизвестно, однако на форумах компании уже имеются десятки тысяч отзывов от пользователей, которые жалуются на медленную работу операционной системы Windows 10 из-за такого нововведения.

Антивирусы против эксплойт-пака

Эксплуатация уязвимостей в программном обеспечении на стороне конечного пользователя стала одним из основных трендов на черном рынке. Аналитические компании прогнозируют стабильный рост доходов киберпреступников от услуг предоставления средств компрометации. Взглянем на антивирусную защиту с позиции обладателя топовой связки сплоитов.

Для тех, кто не осилил: краткое содержание

Мы арендовали новейший Blackhole (пришлось тряхнуть мошной, но чего не сделаешь ради науки), установили новейшие версии топовых антивирусов и проверили, кто из них чего стоит в деле борьбы с новейшими эксплойтами. Благодаря тому, что в наших руках оказалась и консоль эксплойт-пака, и рабочая машина с антивирусом, мы смогли оценить антиэксплойт-эффективность абсолютно достоверно. А еще мы сняли про все это дело видео. Короче, читай, не ленись!

Методика тестирования

В числе топовых на черном рынке эксплойт-паков сейчас находится Blackhole. В одном из прошлых номеров мы о нем уже писали, а успех этого продукта определяется прежде всего его «навороченностью» и обилием различных технологий борьбы с антивирусным ПО, гибкой системой перенаправления трафика (так называемой TDS), интерфейсом консолидации и вывода статистической информации. Именно последнюю версию (на момент написания статьи) этого сплоит-пака мы и будем использовать для тестирования антивирусных решений, участвующих в обзоре.
Матрица рынка киберпреступлений

Тестовый стенд будет представлять собой среднестатистическую конфигурацию пользовательской рабочей станции с предустановленной ОС Windows 7 Ultimate Edition (дефолтовые настройки безопасности) с предустановленным ПО: Adobe Flash Player 10.x (не самая последняя версия, но самая распространенная), Java JDK/JRE 1.6.0.25, Adobe Acrobat 10.x., Internet Explorer 8.0.x.

Методика тестирования простая: заходим по вредоносной ссылке, которая содержит сплоит-пак Blackhole v 2.0.1, и наблюдаем результат. Если дроппер связки успешно загрузил наш notepad.exe, значит, система скомпрометирована, а если окно «Блокнота» не появилось, то проводим разбор полетов (уведомил ли антивирус пользователя и так далее), после чего делаем выводы.


Интерфейс самого распространенного оружия для атак типа drive-by-download

Kaspersky Internet Security

В то время как корпорация Microsoft ищет универсальные способы борьбы с эксплойтами на уровне ОС (технологии ASLR и DEP оказались недостаточно совершенными), объявляя гонорары разработчикам, компания «Лаборатория Касперского» идет в этом направлении своим путем, анонсируя технологию «автоматизированной защиты от эксплойтов», которая, судя по тестам лаборатории MRG Effitas, показывает достойные результаты. Методология этого тестирования заключалась в использовании фреймворка Metasploit и предоставляемого им набора эксплойтов, основанных на уязвимостях, для которых на тот момент отсутствовал патч от официального вендора («уязвимости нулевого дня»). Система считалась защищенной, если в процессе запуска эксплойта блокировалась инициализация его полезной нагрузки.

Технология «автоматическая защита от эксплойтов» (AEP) основана на поведенческом анализе уже известных экземпляров этого вида вредоносного ПО, а также данных о текущем состоянии приложений, которые находятся в зоне «риска» и пользуются большим вниманием со стороны злоумышленников. Также AEP усиливает встроенные средства рандомизации адресного пространства (ASLR) операционной системы Windows. В сочетании с традиционными методами защиты (сигнатурный анализ, контентная фильтрация и облачные сервисы) в реальных условиях эта технология имеет большой потенциал отражения атак, основанных на эксплуатации уязвимостей в стороннем программном обеспечении.

Полностью независимым данное тестирование назвать сложно по той причине, что его инициатором выступила «Лаборатория Касперского», а значит, инновация по понятным временным причинам на момент тестов не имела аналогов. Посмотрим, как пользовательская защита «Kaspersky Internet Security 2013» выглядит со стороны злоумышленника. Отправляем браузер пользователя, рабочая станция которого находится под активной защитой данного продукта, по вредоносной ссылке, где находится наша связка. Процесс загрузки сразу же прерывается сообщением о вредоносном объекте. Вывод: 1day и прочие уязвимости из базы Blackhole exploit kit не прошли, эксплуатация уязвимости останавливается благодаря усиленной рандомизации адресного пространства, и дроппер связки попросту не инициализируется.


Интерфейс самого распространенного оружия для атак типа drive-by-download

ESET Smart Security

Второй по доле рынка в России представитель антивирусной индустрии не делает прямых заявлений о борьбе с эксплойтами, а распределяет эту узкоспециализированную функцию по технологиям ESET Live Grid, ESET ThreatSense и ESET ThreatSense.Net. Первая представляет собой распределенный аналитический центр, который собирает данные о параметрах работы целевой информационной системы и проходящих в ней подозрительных процессах и оценивает риск каждого запущенного приложения на основе репутационной системы.

Технология ThreatSense — технология расширенной эвристики, которая непосредственно борется с инициализацией полезной нагрузки при эксплуатации уязвимости. При помощи результатов эвристических методов в сочетании с результатами эмуляции («песочница») и сигнатурных методов обнаружения вредоносного кода антивирусное программное обеспечение определяет, есть ли попытки заражения. Эффективность ThreatSense и расширенной эвристики демонстрируют отчеты о сертификации, предоставляемые независимым институтом IT-безопасности AV-TEST: в разделе «Защита» (именно в этом разделе отчета определяется способность программного продукта защищать рабочую станцию от начальной стадии жизненного цикла вредоносного ПО) антивирус успешно определил 90% экземпляров эксплойтов, использующих «уязвимости нулевого дня». Примечательно, что антивирусное решение «Лаборатории Касперского», проходившее сертификацию AV-TEST в этот же временной интервал (сентябрь — октябрь 2012 года), успешно определило 98% экземпляров аналогичного набора эксплойтов. Впрочем, известно, что самое честное тестирование антивирусы проходят в нашей хакерской лаборатории, поэтому давай закончим рассказывать о чужих результатах и посмотрим на свои собственные.

Переход по вредоносной ссылке для антивирусного решения компании ESET видимой реакции не вызывает — нет никаких уведомлений и записей в лог-файлах о том, что была обнаружена попытка эксплуатации уязвимости. Однако исполняемый файл «Блокнота» не загружен, из чего следует предположение, что антивирусное ПО не позволяет сплоиту отработать.

Norton Internet Security

Компания Symantec — первопроходец в технологии использования облачной инфраструктуры для защиты от вирусных угроз. Так называемая защита SONAR (Symantec Online Network for Advanced Response) предназначена для предотвращения последствий эксплуатации 0-day-уязвимостей с помощью поведенческого анализа целевых приложений и рейтинговой системы оценки уровня опасности. Один из ключевых факторов в реализации данной технологии — показатель уровня доверия сообщества (Norton Community Watch). Антивирусное приложение решает, принадлежит ли тот или иной файл к вредоносной среде, учитывая результаты статистических данных, получаемых от единой пользовательской базы знаний Norton Community Watch.

Отчет о сертификации AV-TEST последней версии продукта Symantec Norton Internet Security 2013 демонстрирует эффективность защиты SONAR версии 4.0 в 96% атак, направленных на эксплуатацию уязвимостей нулевого дня, векторами которых выступали веб-приложения, содержащие вредоносный код, и электронная почта. Данные, которые содержатся в разделе «Защита» отчета, также позволяют сделать вывод об оперативности обновления информации о новых образцах вредоносного кода в облачной базе знаний: ни один из конкурирующих в российском сегменте продуктов не показал стопроцентной защиты от известных экземпляров вредоносных программ, обнаруженных за последние два-три месяца. Примечателен и тот факт, что облачная инфраструктура SONAR оказалась на втором месте по уровню продуктивности в борьбе с эксплойтами, которую организовала компания MRG Effitas, и показала второй результат в тестировании после технологии AEP от «Лаборатории Касперского».

Читать еще:  Защита от атак


Результаты тестирования технологии AEP лабораторией MRG Effitas

Отправленный по вредоносной ссылке, содержащей сплоит-пак, браузер пользователя спрашивает разрешение на выполнение Java-кода устаревшим плагином, и после положительного ответа мы наблюдаем его работу: связка благополучно эксплуатирует уязвимость и в качестве показателя своей успешной работы перенаправляет нас на страницу редиректа. Где все это время был Norton Internet Security? Ни одного уведомления о какой-либо подозрительной активности, никакой реакции на эксплуатацию. Однако дроппер связки не запускает наш notepad.exe. Причины этого потеряны где-то в недрах «молчаливого» продукта от Symantec. Панель статистики Blackhole сообщает нам об успешной загрузке нашего файла жертве.

Другие представители индустрии

Менее 13% рынка антивирусной защиты в России делят между собой такие вендоры, как «Доктор Веб», Trend Micro, McAfee и другие игроки. Прямых заявлений или анонсов технологий борьбы с эксплойтами от этих компаний за последний год в средствах массовой информации замечено не было, однако продукт Panda Cloud Antivirus, чей объем продаж в российском сегменте не попадает даже в долю погрешности, начиная с версии 2.1 имеет в наличии механизмы борьбы с данным типом угроз.

Облачная база знаний, где каждый пользователь может внести свой вклад, напоминает описанную выше инфраструктуру SONAR от Symantec. Технология Panda Security, основанная на распределенной среде, в настоящее время, по данным из отчетов AV-TEST, демонстрирует свои возможности в определении 0-day-эксплойтов в среднем лишь в 80–85% атак в зависимости от версии своего продукта. Возможно, эти цифры связаны с небольшой, но стабильно пополняющейся базой пользовательских сенсоров, на которые опирается данная технология.

Резюме

Встроенные средства Windows для борьбы с эксплуатацией уязвимостей «нулевого дня» не справляются с текущими версиями вредоносного кода, который пишется квалифицированными злоумышленниками. Техники обхода защит DEP (предотвращение выполнения данных) и ASLR (технология рандомизации адресного пространства) с успехом применяются в новых видах эксплойтов.

Kaspersky Internet Security 2013 отлично продемонстрировал свою технологию в действии, не дав сплоит-паку проэксплуатировать уязвимость на стороне пользователя и проинформировав последнего о наличии вредоносного содержимого. Norton Internet Security, в свою очередь, позволил эксплойту отработать и загрузить дроппер, но инициализация вредоносного кода (в нашем случае это был исполняемый файл notepad.exe) завершилась неудачей, причина которой так и осталась для пользователя загадкой — продукт не вывел никаких уведомлений и не отчитался о своих действиях. То же можно сказать и о продукте ESET, который «тихо», но, в отличие от Norton Internet Security, остановил загрузку вредоносного файла на сторону жертвы.

Статья опубликована в майском номере журнала «Хакер».

Статья Исследование и анализ самых популярных эксплоитов и как защититься от них

DeathDay

Приветствую всех читателей форума! Сегодня я таки решился написать это, вопреки всем своим сомнениям и лени. А речь мы заведем о самых часто используемых эксплоитax для получения удаленного доступа. Каждый из них будет поочередно проанализирован и разобран для того, чтобы понять, как же защититься от этого.

После прочтения этих предложений ты, возможно понял, о чём будет идти речь в этой статье. Исходя из этого предоставляю список, через который каждый из эксплоитов пройдёт. Обзовем это этапами анализа. Встречайте!

  1. История происхождения и его разработка
  2. Где вы могли его видеть и где он был замешан?
  3. Подверженные атаке системы
  4. Краткий гайд по использованию
  5. Что препятствовало получению доступа?
  6. Отчёт с VirusTotal
  7. Как же такому противостоять?
  8. Недостатки
  9. Выводы

По традиции, в мои обязанности входит вставить сюда авторский дисклеймер, который по общепринятым суждениям должен избавить автора от ответственности, но мы прекрасно пониманием, что даже если представленная информация будет использована с зловредными целями и кто-то пострадает, то вина исключительно на ваших плечах, а точнее на ключице злоумышленника. Ну и на моих, конечно.

Никакой дисклеймер и тому подобная чушь не избавит меня от мук совести, ведь какие-то моральные качества сохранить удалось. Статья написана мной из хороших побуждений. Это не инструкция, как хакнуть ПК друзей, не-е-е-т! Это сделано, чтобы от подобных действий каждый из читающих мог противостоять и защитить себя, свои персональные данные от действий неблагонадёжного контингента.

Первым подопытным станет широкоизвестный эксплоит под названием MultiHandler, который будет представлен с различными Payloadами. Достаточно хороший способ получить сессию на удалённом ПК, но всё же не идеально. Дальше поймёте почему.

Оборудование представленное в тексте:

  1. Ноутбук с операционной системой Windows 7
  2. Виртуальная машина с OS Windows server
  3. вторая виртуальная машина с OS Win XP SP2
  4. стационарный ПК с установленным Kali Linux
  5. Мобильный телефон с эмулятором терминала
  6. Виртуальная машина с OS Linux mint 13

1) О создании этого чудесного эксплоита, как на просторах русскоязычного гугла, так и на англоговорящих нет ни слова, но вряд-ли подобного рода listener создавался долгое время, скорее всего он является плодом обоюдной любви Rapid7 и его соратников, во время пересборки метасплоита. Впрочем, не суть.

2) В каких атаках был замешан этот совершенейший листенер? Как по мне, это не стоит того, чтобы углубляться в это, ведь каждая пятая удалённая сессия, успешно полученная злоумышленником, эксплуатируется с помощью этого чуда.

3) Практически все, от самых старых до Windows 10 последнего обновления без FireWalla, специально для написания этой статьи были проведены соответствующее исследования и тесты в этой области .

4) Подойдя вплотную к мануалу по использованию этого утопия, мы стыкаемся со следующим: на нем огромное количество полезных нагрузок, которые могут генерироваться и автономно доставляться на атакуемую тачку. Я продемонстрирую только три основных. К сожалению в этот список не войдёт http-payload на порт 443, только из-за острой нехватки времени.

  • MultiHandler, msfvenom и bind_TSP или получения meterpreter сессии, когда вам уже известен IP жертвы

Для начала нам нужно создать полезную нагрузку ,которая будет доставлена самой жертве, это делается посредством социальной инженерии и подобных приёмов. LHOST — IP-адрес вашего ПК.

  • LPORT — Порт, через который будет работать «слушатель»
  • -p — Payload или полезная нагрузка
  • -f — cоставная задающая тип файла,забегу наперед ,но возможно указать даже APK
Читать еще:  Защита от спуфинга почты

Предельно просто, задаём пейлоад, тип файла и место сохранения,после того как мы перейдём в каталог root, мы увидим наш готовый файл. А продемонстрирую это всё дело с мобильного устройства с эмулятором. Для чего? Не знаю и сам, может ради того, чтобы продемонстрировать, что я могу получить доступ к ПК с телефона.

Запустим метасплоит и выполним следующее команды:

Установим интересующий нам пейлоад, естественно тот, который соответствует нашему .exe :

Установив порт и айпи жертвы, без зазрения совести запускаем слушатель, после чего открываем файл на атакуемом ПК и видим, что открылась сессия метерпретер. Всё работает по следующему принципу: пейлоад.exe в данной ситуации выступает в роли клиента к которому мы проводим подключения с помощью нашего слушателя. Предельно простая схема.

5) Какие же антивирусы препятствовали нам? Да практически все! Для начала все с них палили наш пейлоад, как троян, а для концовки — они не давали нам подключиться к жертве через листенер. Если не забуду, то скину ссылку или скрин с VT.

6) Защиту можно построить на базовых двух вещах: антивирусе и браундмаэре и на собственной голове. Но дальше я расскажу, как можно замаскировать это дело от антивирусов, тогда этот неподъёмный груз ложится только на вашу голову.

7) Выводы? Какие могут быть выводы если мы только на первом из трёх пейлоадов для слушателя? MultiHandler и Reverse_TCP. Выше я расписал о этом эксплоите, давайте к мануалу сразу! Как и в прошлый раз создаём пейлоад.ехе, но с некоторыми поправками.

Затем это всё добро доставляем жертве, после чего осталось только настроить слушатель. Это делается так же, но с небольшими правками.

После того, как жертва запустит наш пейлоад, мы словим сессию метерпретер. Суть заключается в том, что не мы подключаемся к нему, а он к нам, от сюда и название «Обратный».

Ну и скрытый шелл с помощью Netcat. Создаём исправленный пейлоад.exe:

После доставке жертве, злоумышленник обычно занят настройкой слушателя, как и мы всегда, но здесь мы и без него обойдёмся. Выручит нас netcat. Пишем:

После ловим сессию.

Выводы о MultiHandler: вещь неплохая, но не очень практичная, поскольку палится всем, чем только можно, при этом поддаётся криптованию, о чём расскажу ниже. Обычный антивирус и голова на плечах — в силах противостоять этому.

1) Об истории этого легендарного эксплоита можно говорить сутками напролёт, но всё-же ограничимся краткой историей. Википедия гласит: EternalBlue (CVE-2017-0144) — кодовое имя эксплойта, эксплуатирующего компьютерную уязвимость в Windows-реализации протокола SMB, к разработке которого, как считается, причастно Агентство национальной безопасности (США). Секретные сведения об уязвимости и исполняемый код эксплойта были опубликованы хакерской группой The Shadow Brokers 14 апреля 2017 года. Уязвимость была использована при распространении вредоносного ПО WannaCry в мае 2017 года, а также при распространении Petya в июне 2017 года.

2) Был замешан в множестве атак, но самыми известными считают распространение WannaCry и Petya.

3) Windows 7, Windows server/R2 без патча CVE-2017 и при отсутствии антивируса, который будет срывать сессию.

4) Мануал, о да. О этом куча информации, поэтому не буду даже объяснять команды!

В итоге получил ошибку, видимо у меня уже установлен на это патч или закрыт смб порт.

5) Антивирусы, определённо, срывают коннект.

6) Регулярные обновления и наличия закрытых портов с антивирусом — вас защитит.

Решил слить два метода в один, ведь они касаются одной операционной системы и как использовать листенер — показано выше.

1) Оба эксплоита не имеют особой истории, оба достаточно древние, но в случае с пейлоад.ехе — непобедимый вариант.

2) Ко мне особые слухи об этих чудищах не успели дойти, но, думаю, в паре атак их использовали.

3) Получения удалённого доступа к тачке под линукс — их прямая и непосредственная задача.

4) Начнём с пейлоад.ехе, не буду показывать часть с настройкой слушателя, а просто создадим наш файлик.

После ловим сессию.

5) Исходя из того, что это. Линукс, пейлоад.ехе вирус тотал одобрил полностью, не обнаружив ни-че-го. Но подвержены эксплуатации более раннее версии, где не устранена уязвимость с самбой.

6) Единственной защитой, кроме головы, является установка более новых версий линукс.

Я понимаю, что подобного рода статья относится к тому, что было в начале статьи, но здесь есть свои подводные камни, которые мне удалось найти.

1) Насчёт создания и всего прочего — не известно, точнее в рунете нет ничего толкового.

2) Не фигурировал в каких-то крупных атаках.

3) Создаём всё такой же пейлоад, но с расширениям apk, ведь атакуемая тачка — андроид!

По традиции доставляем его на телефон жертвы и настраиваем слушатель:

После устанавливаем APK-шку на андроид, но видим следующее: «Ошибка установки». Погуглив, я нашёл решения этого метода. Установка не происходит потому, что АПК приложения не имеет подписи, но и это дело нам под силу! Естественно, возможно подписать своё приложения с помощью популярных сред разработки приложений, но мне этот вариант был не по душе и мне удалось нарыть приложения Zipsinger, которое в пару кликов его подпишет. После установки к нам летит сессия метерпретер.

4) Самое забавное в этом всём, что подобное проникновение невозможно обнаружить антивирусом. Он абсолютно не имеет шансов против него. Суждение большей части людей: «Вирусы на андроид? Чё? Еретик!», — и тебя мгновенно жгут на костре фанаты андроида. Лучшая защита — ваша голова и осведомлённый мозг.

Да! Господа, поскольку большая часть антивирусов палит пейлоады, нужно закриптовать это всё дело, что затруднит обнаружение вирусных сигнатур. Давайте-ка закриптуем одно из наших чудес метасплоита? Нет. Это уж в продолжении этой статейки, которую смело можно номинировать на звание исследования. Только два антивируса из пятидесяти обнаружили криптованный файл-троян.

Для чего я низверг столько информации? Не нужно забывать, что лучшим антивирусом является светлая и осведомленная голова. Всё это написано для получения элементарных знаний, как работает это всё и как этому противостоять. В следующей части мы разберем как закриптовать и как обнаружить троян-пейлоад, как провести атаку через текстовые файлы или 7 чудес Metasploit ждут вас. До скорого, ребята.

Ссылка на основную публикацию
Adblock
detector