Medidor HTTPS detectado por IPS

Navega tus respuestas
3

Estoy ocupado con las pruebas de seguridad en una red de clientes y me pidieron que muestre qué tan fácil es la evasión AV. Creé un buen archivo HTTPS inverso de PowerShell a través de la evasión de velo, que no es detectado por Symantec Virusscanner (prueba con Norton Deluxe).

Así que fue bastante fácil, pero cuando lo ejecuto, la parte IPS del explorador de virus (lo probé, es puramente el IPS) todavía detecta el tráfico de la red del medidor de contador. Por lo que puedo ver con Wireshark, la conexión llega al mensaje "Hola, Certificado, Servidor, Hola Hecho" y se interrumpe en ese momento.

Mi pregunta es ¿cómo detecta esto el IPS? ¿Qué en el mensaje meterpreter está activando este IPS? Y luego, ¿qué usar para evitar esto todavía usando meterpreter (y no tener que escribir mi propia puerta trasera)?

    
pregunta Wealot 09.01.2017 - 09:09
fuente

2 respuestas

2

Creo que no podemos saber exactamente cómo detecta el IPS. Podría ser algo así como una firma / regla diferente entre los proveedores de IPS. Por cierto, hay muchos artefactos que se pueden usar para identificar HTTPS inversos, por ejemplo de este antiguo artículo en el blog de NETRESEC , habla de las mismas características en los certificados X.509 utilizados en el HTTPS inverso de Metasploit.

Actualización 1 : algunos IPS pueden analizar el protocolo integrado SSL / TLS actuando como intermediario entre usted y su destino, pero debe aceptar su certificado.

Actualización 2 : Esto es, por ejemplo, Snort rule 34864 por Didier Stevens utilizado para detectar Metasploit Meterpreter revertir HTTPS por el Contenido de su certificado. Le sugiero que descargue y busque Metasploit Meterpreter reverse HTTPS certificate en el archivo community.rules

    
respondido por el pe3z 10.01.2017 - 08:31
fuente
3

De forma predeterminada, Metasploit genera certificados autofirmados con un CN de 4 caracteres aleatorios. Es muy probable que algún aspecto de ese certificado sea lo que está activando el IPS.

Puede anular esto proporcionando un certificado en formato PEM en la opción avanzada HandlerSSLCert .

    
respondido por el egypt 10.01.2017 - 16:47
fuente

Lea otras preguntas en las etiquetas

¿Impedir el secuestro de sesión en el servicio de blog? ¿La clave pública del servidor y la pública de Diffie Hellman son las mismas?