Pular para o conteúdo principal

[Offensive Security] - Detectando Antivírus no Windows


Estamos falando aqui do que é conhecido como Post Exploitation (ações realizadas após explorar uma vulnerabilidade e ganhar acesso ao sistema) em ambiente Windows.

Um material de referência muito respeitado na área de Offensive Security mostrou a importância de detectarmos a existência de antivírus no sistema comprometido antes que ele detecte a nossa presença (ao tentarmos enviar algum arquivo - reverse shell, trojan, etc.).

Talvez exista alguma ferramenta que automatize esse trabalho, mas em primeira instância, registro aqui a solução rápida que encontrei e pretendo usar (até encontrar uma solução automatizada).

TASKLIST e FINDSTR
O sistema Windows fornece uma ferramenta de linha de comando chamada tasklist que faz o mesmo que o Task Manager na aba de processos em execução. Ao unir o resultado listado com o comando findstr, que também é fornecido pelo sistema, nós podemos filtrar a saída do tasklist para exibir apenas entradas que mostrem a existência de um antivírus em execução.

EXEMPLO
C:\>  tasklist | findstr /i "avast | avg"
AvastSvc.exe                  1608 Services                   0    184.464 K
AvastUI.exe                   3156 Console                    1     17.688 K

FINALIZANDO
 Essa é uma solução simplória, mas efetiva. Tendo como vantagem exatamente a simplicidade e desvantagem o fato de que o atacante precisa adicionar manualmente a lista de nomes de processos dos antivírus a serem verificados.

Comentários

  1. Funciona com qualquer antivírus ? Ou apenas o Avast?

    ResponderExcluir
    Respostas
    1. Então, tem que colocar os nomes dos processos naquela lista do findstr e ele vai identificar qualquer processo em execução. O conceito é básico:

      Você está dizendo assim: "Liste para mim todos os processos em execução, mas quero filtrar apenas alguns nomes." Daí você passa a lista de nomes que você quer filtrar.

      A lista de nomes não é nada mais do que o nome dos processos que aparecem no gerenciador de tarefas. Por exemplo, o Windows Explorer aparece assim: "explorer.exe" (Abre o gerenciador de tarefas aí e confere). Sabendo disso, a gente só precisa saber qual o nome do processo dos antivírus que queremos filtrar. Eu sei que o Avast é: AvastUI.exe, por isso eu posso filtrar com o findstr /i por esse nome para saber se o avast está sendo executado na máquina.

      Ah, e se que quiser saber se o Norton está em execução??? Bem, aí precisaríamos primeiro saber qual o nome do processo do Norton no Gerenciador de tarefas e adicionar à lista de nomes a ser verificado.

      O que comentei como desvantagem é o seguinte: Se eu não quero verificar por um antivírus específico? Se o que eu quero é verificar por QUALQUER antivírus? Bem, nesse caso a nossa lista de nomes ficaria beeeeeeem extensa. Precisaríamos colocar na lista o maior número possível de nomes de processos de antivírus. Daí ele iria verificar se existe algum processo sendo executando com um dos nomes da lista. Para isso precisaríamos conhecer o nome dos processos de vários antivírus (não é impossível, mas é trabalhoso).

      Espero ter ajudado,
      Abraços,
      :wq!

      Excluir

Postar um comentário

Postagens mais visitadas deste blog

[VMWare ESXi 6] - Suporte à placa de rede Realtek 8139

Essa placa não é suportada nativamente pelo ESXi. Para usar uma dessas placas precisei seguir os assoa abaixo:

Envie para o datastore o seguinte arquivo: https://www.dropbox.com/s/840jcwj93yed1wr/rtl8139.vib?dl=0

Execute essa sequência de comandos via SSH:

esxcli software acceptance set --level=CommunitySupported
esxcli software vib install -v /vmfs/volumes/datastore1/isos/rtl8139.vib

Reinicie o sistema e a placa deverá ser reconhecida.

:wq!

CentOS 7 + OMD (Open Monitoring Distribution )

yum install wget -y
wget https://labs.consol.de/repo/stable/rhel7/x86_64/labs-consol-stable-1.3-1.rhel7.noarch.rpm
yum localinstall labs-consol-stable-1.3-1.rhel7.noarch.rpm -y
yum install omd -y
Após a instalação ser concluída, crie e inicie a nova instância do OMD:

omd create nome_do_siteomd start nome_do_site
Para visualizar e alter algumas configurações :

omd config nome_do_site
== OBS
O firewall do CentOS não permite conexões às porta 5000 por padrão (A porta 5000 é a default para o primeiro site OMD). Uma solução rápida (apenas em laboratório):

iptables -F
== Acesse o servidor:
http://ip_do_servidor:5000/nome_do_site
Usuário: omdadmin
Senha: omd

== Main informações
Mais informações em: http://omdistro.org/

OpenVPN no CentOS

Oba oba!!! \0/
Estou de volta para guardar mais uma informação útil! A instalação do OpenVPN no CentOS. Vou mostrar aqui de maneira bem direta a instalação e configuração que já realizei em diversos ambientes.

STARTING...


1. Instale o repositório RPMForge:
wget http://packages.sw.be/rpmforge-release/rpmforge-release-0.5.1-1.el5.rf.i386.rpm rpm --import http://apt.sw.be/RPM-GPG-KEY.dag.txt rpm -K rpmforge-release-0.5.1-1.el5.rf.*.rpm rpm -i rpmforge-release-0.5.1-1.el5.rf.*.rpm

2. Verifique se o RPMForge aparece na lista de repositórios:
yum check-update
3. Instale o OpenVPN yum install openvpn -y
4. Iniciando a configuração: cp -pra /usr/share/openvpn/2.0/easy-rsa /etc/openvpn cd /etc/openvpn/easy-rsa . ./vars ./clean-all ./build-ca

5. Criando a chave para o servidor:
./build-key-server server

6. Criando a chave para o cliente:
./build-key cliente

7. Gerando um Diff Hellman (DH) no servidor:
./build-dh
dentro do diretório /etc/openvpn/ encontra-se um arquivo chamado server.conf (se não exist…