Antivirus-Evasion in Metasploit 5

Es ist ein ständiges Katz-und-Maus-Spiel, das sich die Entwickler von Virenschutzlösungen und Penetrationstester liefern. Die Zeiten, in denen Antiviruslösungen auf rein signaturbasierenden Prüfungen setzten, sind längst vorbei. Moderne Programme verfügen über verhaltens- und cloudbasierte Erkennungen, Heuristik und Sandboxen.

Aus Sicht der Penetrationstester gibt es mehrere Ansätze, um Virenschutzlösungen zu umgehen. In der Vergangenheit flossen diese Techniken in Programme wie z.B. Veil-Evasion, msfvenom (Metasploit Framework) und dem Empire Framework ein.

Wer sich umfassend mit der Materie befasst wird feststellen, dass der Defender in Windows 10 die Erkennungsrate deutlich erhöht hat. Auch die früher so einfach durchzuführenden Angriffe mittels Powershell laufen immer öfter ins Leere. In vielen Fällen wird schon der erzeugte Payload vom Defender als Schadcode eingestuft und nicht ausgeführt.

Mit Metasploit 5 läutet Rapid7 in diesem Wettkampf eine neue Runde ein. In der Betaversion des Frameworks stellen die Entwickler ein neues Modul vor, dass bekannte Techniken mit neuen Ansätzen kombiniert. So wird die zukünftige Version einen C Compiler enthalten, der direkt aus Metaploit aufgerufen werden kann. Außerdem wird der so erzeugte Quellcode nach dem Zufallsprinzip generiert, verschlüsselt und mit weiteren Verschleierungstechniken angereichert.

Die so generierte Windows PE- Datei (.exe) lässt sich  sofort auf dem Zielsystem einsetzen und mit den bekannten Payloads (z.B. Meterpreter) und Ressource-Dateien kombinieren.

In diesem Beitrag zeige ich, wie Sie Metasploit 5 in der Beta-Version installieren und das neue Module anwenden.

WeiterlesenAntivirus-Evasion in Metasploit 5