Meterpreter detectado por AV

1

Desde enero observé que meterpreter_reverse_https fue detectado por AV incluso con la codificación enablestage configurada como verdadera. Intenté cambiar la firma del meterpreter y establecer el handlersslcert en true, sin éxito. Después de esto, configuré la opción SSL de web_delivery en true pero aún tengo el mismo problema. Entonces, cambié a reverse_tcp_rc4 que funcionó perfectamente hasta este fin de semana. Ahora también es detectado por Symantec.

Un punto que es importante, cuando tomo el código fuente del meterpreter en PSH y lo ejecuto directamente en la consola de PowerShell, ¡funciona! Creo que ips detecta la firma de la comunicación entre la víctima y el servidor de entrega web.

¿Puede alguien explicarme cómo resolver el problema? Realmente lo necesito porque tengo una sesión de meterpreter que se inicia periódicamente con este método.

    
pregunta Mohamed Boulanouar 20.02.2017 - 18:32
fuente

2 respuestas

1

Encuentro dónde está el problema, es el módulo de entrega web de metasploit. Creo que los IPS están activando algunos encabezados HTTP de este módulo. ¡Pasé por alto el problema al usar el módulo de múltiples manejadores, que se combina con un servidor usapalpache2 y funciona! (no es necesario seguir los pasos paranoicos)

Si alguien sabe qué IPS está activando exactamente y cómo podemos evitarlo mediante el módulo de entrega web. Por favor, infórmame.

Gracias a todos

    
respondido por el Mohamed Boulanouar 01.03.2017 - 09:20
fuente
0

Mohammad,

La mayoría de los AV no están revisando los procesos de powershell para las sesiones del medidor de medición en este momento.

Lo alentaría a que intente generar goteros de meterpreter desde veil-framework como su código fuente .py, editando las variables, generando un exe con pyinstaller y luego probando eso.

Caza feliz.

    
respondido por el standarduser 21.02.2017 - 22:18
fuente

Lea otras preguntas en las etiquetas