Dire che le fasi di exploitation e post-exploitation siano interamente da delegare a Metasploit non è davvero il massimo. Nell'hacking, o per meglio, nel penetration testing, le vie del signore sono infinite, ma finiscono presto laddove finiscono le skill.
Tuttavia, quest'oggi, la Shell sel'è vista davvero brutta contro la feature di protezione
Il mio voto per quest'AV è di 9 stelline su 10.
Potete acquistarlo. Il prodotto include LSA protection (a partire dalla versione free) per bloccare Mimikatz, un noto tool che consente di fare lateral movement negli account connessi alla stessa sessione di Windows.
Tuttavia, quest'oggi, la Shell sel'è vista davvero brutta contro la feature di protezione
password shield
di Avast Premium. Si parla di un AV che offre il perfetto equilibrio fra sicurezza, stabilità e intelligenza artificiale. Dopo aver fatto i miei test, posso dire che quest'AV può essere usato in qualunque contesto, sia privato che aziendale, e il suo vantaggio principale è quello di offrire copertura anche ai device più datati, caratteristica di cui ho parlato anche in vecchi thread. Qual è il resoconto tecnico del test?- Fase 1: scaricamento ed esecuzione del payload evasivo. Riuscito con i privilegi dell'user.
- Fase 2: query ai database delle password dei brower: fallito (Meterpreter: Session 1 - Died)
- Fase 3: ripeto la Fase 1, stavolta applico un ulteriore livello di encryption al secondo stage e migro in
explorer.exe
: Riuscito al 50%, Avast se ne accorge e mi avverte con un dialog di conferma per bloccare l'attacco. Se questo dialog non viene toccato, l'injection va a buon fine.
- Fase 4: Carico uno stealer in python
.exe
nell'user folder per reperire le password di Google Chrome. Fallito e tutti dentro (in quarantena sia lo stealer che Meterpreter). La detection è avvenuta solo nel momento in cui lo stealer chiamaCryptUnprotectData
per rimuovere l'encryption.
Interessante, perché lo stealer era FUD. Già testato e funzionante al 100% contro ogni AV gratuito esistente, è caduto di fronte ad Avast Premium.
- Fase 5: Ripeto tutte le 4 fasi precedenti ma stavolta senza lo stealer in py. Mi rendo conto che Avast Premium limita l'accesso al database di Google Chrome a qualsiasi processo che non è
chrome.exe
. Ottengo la sessione e stavolta migro direttamente inchrome.exe
, sfruttando il moduloenum_chrome
di Metasploit per terminare l'attacco (rischioso, ma ultima opzione rimasta); Riuscito!
- Fase 6: Io,
chrome.exe
posso fare una query a me stesso, decriptare le mie password e spedirle in remoto, ad un indirizzo IP che si nasconde dietro una connessione HTTPS protetta da un certificatoLet's Encrypt
(che in realtà era la mia sessione di Meterpreter)? Sì, attacco riuscito!
Il mio voto per quest'AV è di 9 stelline su 10.
Potete acquistarlo. Il prodotto include LSA protection (a partire dalla versione free) per bloccare Mimikatz, un noto tool che consente di fare lateral movement negli account connessi alla stessa sessione di Windows.