Discussione Avast Premium VS Metasploit Meterpreter - Miglior AV del mondo?

czonta96

Utente Gold
17 Gennaio 2022
259
73
153
289
Dire che le fasi di exploitation e post-exploitation siano interamente da delegare a Metasploit non è davvero il massimo. Nell'hacking, o per meglio, nel penetration testing, le vie del signore sono infinite, ma finiscono presto laddove finiscono le skill.

Tuttavia, quest'oggi, la Shell sel'è vista davvero brutta contro la feature di protezione password shield di Avast Premium. Si parla di un AV che offre il perfetto equilibrio fra sicurezza, stabilità e intelligenza artificiale. Dopo aver fatto i miei test, posso dire che quest'AV può essere usato in qualunque contesto, sia privato che aziendale, e il suo vantaggio principale è quello di offrire copertura anche ai device più datati, caratteristica di cui ho parlato anche in vecchi thread. Qual è il resoconto tecnico del test?

  1. Fase 1: scaricamento ed esecuzione del payload evasivo. Riuscito con i privilegi dell'user.

  2. Fase 2: query ai database delle password dei brower: fallito (Meterpreter: Session 1 - Died)

  3. Fase 3: ripeto la Fase 1, stavolta applico un ulteriore livello di encryption al secondo stage e migro in explorer.exe: Riuscito al 50%, Avast se ne accorge e mi avverte con un dialog di conferma per bloccare l'attacco. Se questo dialog non viene toccato, l'injection va a buon fine.

  4. Fase 4: Carico uno stealer in python .exe nell'user folder per reperire le password di Google Chrome. Fallito e tutti dentro (in quarantena sia lo stealer che Meterpreter). La detection è avvenuta solo nel momento in cui lo stealer chiama CryptUnprotectData per rimuovere l'encryption.
    Interessante, perché lo stealer era FUD. Già testato e funzionante al 100% contro ogni AV gratuito esistente, è caduto di fronte ad Avast Premium.

  5. Fase 5: Ripeto tutte le 4 fasi precedenti ma stavolta senza lo stealer in py. Mi rendo conto che Avast Premium limita l'accesso al database di Google Chrome a qualsiasi processo che non è chrome.exe . Ottengo la sessione e stavolta migro direttamente in chrome.exe , sfruttando il modulo enum_chrome di Metasploit per terminare l'attacco (rischioso, ma ultima opzione rimasta); Riuscito!

  6. Fase 6: Io, chrome.exe posso fare una query a me stesso, decriptare le mie password e spedirle in remoto, ad un indirizzo IP che si nasconde dietro una connessione HTTPS protetta da un certificato Let's Encrypt (che in realtà era la mia sessione di Meterpreter)? Sì, attacco riuscito!
Resoconto finale: sono felice di avercela fatta. Per quest'attacco ho dovuto fare sostanziali modifiche sia al payload che al codice di Meterpreter, oltre ad un'altra lunga serie di operazioni preliminari. Avast è in grado di rivelare e bloccare ogni attacco default che può lanciare Metasploit. Di sicuro se Metasploit è nelle mani di uno skid Avast ha sempre la meglio, il problema è quando arriva uno stro*** che si riscrive la bibbia da capo, a costo di bucare la sicurezza.

Il mio voto per quest'AV è di 9 stelline su 10.
Potete acquistarlo. Il prodotto include LSA protection (a partire dalla versione free) per bloccare Mimikatz, un noto tool che consente di fare lateral movement negli account connessi alla stessa sessione di Windows.
 
  • Mi piace
  • Incredibile
Reazioni: 0xbro e TheWorm91

czonta96

Utente Gold
17 Gennaio 2022
259
73
153
289
Nel dubbio sempre meglio non salvare mai le password nel browser! :)
Volendo puoi farlo, ti basta fare attenzione a non beccare virus da email strane o siti strani e assicurarti che il device sia coperto da vulnerabilità critiche. Le password purtroppo vanno salvate specialmente se sono lunghe e difficili da ricordare, e comunque esiste anche un'altra tecnica chiamata session hjacking, che sfrutta la modalità "resta connesso". Basta scaricare e decriptare i valori del cookie giusto e bypassi anche il 2FA. Su Git circola anche un tool famoso chiamato Evilginx, che dimostra l'impatto di quest'attacco.

Quando gli hacker prendono di mira le aziende comunque sanno che al 99% c'è qualche scassone ancora vulnerabile a roba come eternalblue, e per forza di cose SMB 445 è un servizio che le aziende tengono aperto per svariate ragioni. Ti basta scaricare le patch di Microsoft e hai risolto easy.