Estoy ocupado con las pruebas de seguridad en una red de clientes y me pidieron que muestre qué tan fácil es la evasión AV. Creé un buen archivo HTTPS inverso de PowerShell a través de la evasión de velo, que no es detectado por Symantec Virusscanner (prueba con Norton Deluxe).
Así que fue bastante fácil, pero cuando lo ejecuto, la parte IPS del explorador de virus (lo probé, es puramente el IPS) todavía detecta el tráfico de la red del medidor de contador. Por lo que puedo ver con Wireshark, la conexión llega al mensaje "Hola, Certificado, Servidor, Hola Hecho" y se interrumpe en ese momento.
Mi pregunta es ¿cómo detecta esto el IPS? ¿Qué en el mensaje meterpreter está activando este IPS? Y luego, ¿qué usar para evitar esto todavía usando meterpreter (y no tener que escribir mi propia puerta trasera)?