Discussione Sophos AV - Resoconto di "esperienza cyberbellica"

[Netcat]

Mi piace definire con l'espressione "esperienza cyberbellica" quella sfida in cui io, o altri hacker etici, ci cimentiamo per creare un evasive executable che può rimanere sotto il Radar di quanti più antivirus possibili in più stage dell'attacco. Come alcuni di voi già sanno, lo stage iniziale di un attacco consiste nell'invio del malware al target, lo stage intermedio è l'esecuzione del malware, e lo stage finale, denominato post-exploitation è quella fase che va a concretizzare le operazioni compiute da questo malware. Quest'oggi vi racconterò della mia esperienza cyberbellica contro un noto colosso della sicurezza informatica, Sophos Antivirus. Come si fa a stabilire se un Antivirus è migliore di un altro nel rilevamento dei malware? In realtà sono tutti più o meno allo stesso piano, più che parlare di "qual è meglio?" io preferirei usare l'espressione "qual è quello che ha visto più malware?"

Come già sappiamo, gli AV sfruttano un database contenente le cosiddette "signature" di malware già rilevati, e inoltre, grazie a modelli di machine learning sempre più sofisticati, quasi ogni antivirus riesce ad individuare delle varianti sconosciute dello stesso malware. Com'è preparato Sophos Antivirus sotto quest'aspetto? Per testare le capacità di resistenza di quest'AV ho sfruttato czonta.exe, un payload in grado di rimanere nell'ombra sul target device dopo l'execution, che uso nelle operazioni segrete, e di cui le informazioni sono private. Cosa fa questo payload? L'obiettivo di questo payload è quello di spacciare una serie di attacchi volti al furto delle credenziali per un processo di sistema valido, per spiegarlo a livello tecnico mi basterebbe richiamare un riferimento tramite link, ma essendo a conoscenza del fatto che non tutti hanno scopi davvero etici, preferisco lasciarvi pensare che l'ho fatto con qualcosa preso a caso da Git, dato che i tool provenienti da quel canale sono diventati una moda nell'ultimo biennio. Com'è andata alla fine? Sophos, merita davvero di essere acquistato per la sicurezza della tua azienda, del tuo server o della tua rete domestica?

1. Stage 1: download e piazzamento dell'.exe nell'user folder. Riuscita
2. Stage 2: esecuzione dell'.exe. Riuscita
3. Stage 3: Fase 1 post-exploitation, check completo dell'hard disk in cerca di ogni estensione di file che possa contenere una password (.docx .txt .pdf .csv .xls). Riuscita
4. Stage 4: Fase 2 post-exploitation, impersonificazione dei privilegi dell'user, anche se non richiesto, ma in alcuni casi è utile. Fallito (Detection avvenuta nel momento in cui si prova a sfruttare explorer.exe per impersonare l'user)
5. Stage 5: Fase finale, Mimikatz. Riuscita.

Sono rimasto sorpreso dal fatto che un AV a pagamento abbia lasciato passare un tool così famoso, così famoso quanto efficace. Mimikatz è un utility che può recuperare password di vari servizi dal sistema che riesce a infettare. Per quanto riguarda la tecnica del process injection invece devo ammettere che quest'AV è un prodotto decente. Non mi ha consentito di far girare codice malevolo nei processi legittimi di Windows, quest'accortezza mi ha costretto a modificare l'.exe per far spawnare un processo indipendente nel Task Manager. Questo comportamento, far spawnare un processo indipendente dal malware, rispecchia quello di molte app legittime, e quindi ritenuto sicuro dall'AV - Ma non dalla persona che è dietro al device. Infatti quando i malware si comportano in modo così "standard", è pur vero che possono evadere l'AV, ma possono essere fermati manualmente, dal Task Manager. Esistono tecniche di evasion ausiliari per sorvolare anche quest'ostacolo, così tante che diventerebbe davvero troppo lunga la storia, se dovessi spiegarle tutte in una volta, e ne parlerò in un'altra occasione.

Qual è il verdetto finale su Sophos? Quest'AV è interessante... Ma soffre dello stesso problema che hanno molti altri, non è in grado di rilevare l'elemento di novità in modo dinamico nel malware, e quindi c'è una probabilità - molto bassa - di poter essere attaccati, anche con la versione a pagamento. Ottimo antivirus contro i malware già noti, e ha rilevato anche varianti auto-prodotte di questi malware, per generare solamente nuove signature. Pessimo nel respingere lo stage iniziale dell'infezione nei malware sofisticati, ma ha mostrato una buona resistenza negli stage finali... A parte Mimikatz... Voto 4/10. Non comprate. La versione gratuita è già praticamente il 90% del prodotto, dato che la versione a pagamento si è rivelata niente di speciale.

 

[0xbro]

Se non becca un Mimikatz non offuscato o iniettato in memoria, per me è da buttare subito... è un errore davvero grave per un prodotto a pagamento!

Comunque molto interessante, secondo me sarebbe interessante per il futuro fare una specie di PoC con diversi AV (come già stai facendo), utilizzando gli stessi sample e gli stessi attacchi, in modo da avere un termine di paragone scientifico per capire punti di forza e debolezza dei principali prodotti

Detto questo però, grazie per le info!

 

[JunkCoder]

Sophos Home a pagamento è molto simile alla free, sarebbe interessante testarlo contro Sophos EDR che è ambito enterprise: le contromisure contro mimikatz e simili sono molto più popolari in soluzioni enterprise. In un modo o nell'altro si fregano un po' tutti se usi malware custom e fatto bene, ma almeno mimikatz dovrebbe beccarlo sempre un po' come fa l'agent di FireEye EDR.

 

[Netcat]

Per Mimikatz serve un AV con questo modulo di protezione specifico (quadrato rosso). Avast cel'ha alla versione gratuita, altri AV invece se non li paghi si divertono a vederti lì a provare 100 password per entrare, quando in realtà quella vera è stata modificata da qualcuno che ha lamerato l'intero network con questo tool. Personalmente non sono d'accordo, perché Mimikatz è un tool open source, e reperibile ovunque. Di conseguenza anche le risposte difensive a questo tool dovrebbero essere sempre open source.