Статья Как обойти антивирусную защиту после компрометации системы

Тема была полезна для Вас?

  • Да

    Голосов: 17 89.5%
  • Нет

    Голосов: 1 5.3%
  • Не определился..)

    Голосов: 1 5.3%

  • Всего проголосовало
    19

Lisenok

Well-known member
02.04.2016
103
61
#1
Всем читателям доброго времени! Сегодня решил описать как можно избавиться от надоедливого ,для нашего дела, антивируса:) Так вот как обычно получалось у меня, после получении сессии метерпретер я ничего не мог сделать, что было нужно для меня, блокировал антивирус.

Перейдем от слов к делу, у нас имеется:

1. Система windows 7 x64, с уязвимостью ms17_010;
версиясистемы.jpg
2.Телефон под управление андроид с предустановленными Termux и metasploit;
3.Установленный антивирус ESET, обновленный и в полной готовности противостоять нам:)
есетверсияобрезанныйскрин.jpg

И так начнем, для начала получаем сессию метерпретер средствами ms17_010 или как вам удобнее, после этого допустим пытаемся получить shell:
nedaetshellezlishnego.jpg

Шелл получить не удается, попробуем создать папку:
mkdirobrez.jpg

Создать папку получилось, что ж залью майнер, может быть юзер увидит ему станет интересно и он сам запустит этот файл, так как шелла то нету.
mkdirps6svhost.jpg
Нет, все таки антивирус спалил, так что не получилось ну и ладно, найдем другую уязвимую систему....
Шучу, шучу....) Конечно же мы продолжим..))

Так теперь подгрузим powershell, и посмотрим будет ли он выполнять наши команды:
psdate.jpg

Дату показал. Теперь перейдем к интересному, получим список установленных программ:
installprogramm.jpg

Тут мы видим наш горячо (не)любимый антивирус.
Пробуем удалять:
Uninstallvir.jpg

Вот в этот момент я думал что ничего не получилось, но прошло минуты три и я боковым зрением уловил какое то движение на уязвимой системе:
searchprogramm.jpg

Посмотрев список установленных программ, антивируса не увидел:
списокпрограмм1.jpg

Телефон больше никаких признаков не подавал*, поэтому нажатием ctrl + c , я остановил этот процесс и решил попытаться заново залить свой майнер и рмс. Через шелл запускаю рмс, хотя можно и через метерпретер командой execute, но мне было интересно именно так. На почту приходит id рмс:
idzatert.jpg

И подключились:
vncobrez.jpg

Вот и всё ребята:)

Отписывайтесь получилось ли у Вас? где были какие затыки? Как решили? Была ли статья для Вас полезна?

*Примечание: В последующий раз при удаление антивируса, по окончанию ответ все таки приходил:
otvetpsuninsta1l.jpg
 

arm_n

Well-known member
26.02.2018
65
54
#2
Хм. Через PS не пробовал, попробую.
Обычно использую командную строку WMI:
wmic:root\cli>
product get name
product where name="имя программы" call uninstall
Но через PS проще. Спасибо, буду тестить :)
 

arm_n

Well-known member
26.02.2018
65
54
#3
А не проще ли, чтобы не "запалиться" с удалкнием АВ остановить службу ESET Service (ekrn.exe), а уж затем заливать на тестируемый (атакуемый) комп "всяко-разно заразно?"
 

Tayrus

Grey Team
13.04.2017
179
187
#4
Получил права системы.
2018-06-09_9-51-05.png
Список отобразился, но не полный, много программ отсутствует.
2018-06-09_9-51-30.png 2018-06-09_9-52-31.png 2018-06-09_9-52-45.png 2018-06-09_9-52-59.png
 

arm_n

Well-known member
26.02.2018
65
54
#5
Список отобразился, но не полный, много программ отсутствует.
Командлет WinObject Win32_Product отображает только те приложения, которые установленны с помощью Windows Installer.
 
10.11.2016
124
432
#6
Список отобразился, но не полный, много программ отсутствует.
Мне кажется, тут лучше использовать
Для просмотра контента необходимо: Войти или зарегистрироваться
, этот командлет покажет все работающие/остановленные процессы, а Stop-service - остановит процесс
Например, эта команда остановит работу процесса Avast, т.е отключит антивирус, с помощью Powershell
PS C:\> Stop-service -force "avast! antivirus"
 
Последнее редактирование:

Lisenok

Well-known member
02.04.2016
103
61
#7
А не проще ли, чтобы не "запалиться" с удалкнием АВ остановить службу ESET Service (ekrn.exe), а уж затем заливать на тестируемый (атакуемый) комп "всяко-разно заразно?"
Служба ekrn перезапускается, я как то пробовал написать бат файл который непрерывно её останавливает, но на атакуемой машине это не сработало
 

Lisenok

Well-known member
02.04.2016
103
61
#8
Хм. Через PS не пробовал, попробую.
Обычно использую командную строку WMI:
wmic:root\cli>
product get name
product where name="имя программы" call uninstall
Но через PS проще. Спасибо, буду тестить :)
А wmic как запускаешь в метерпретере? Я тоже хотел , но помоему сначало нужен shell? Или есть какая то уловка вроде load wmic?
 

Lisenok

Well-known member
02.04.2016
103
61
#9
Мне кажется, тут лучше использовать
Для просмотра контента необходимо: Войти или зарегистрироваться
, этот командлет покажет все работающие/остановленные процессы, а Stop-service - остановит процесс
На пример, эта команда остановит работу процесса Avast, т.е отключит антивирус, с помощью Powershell
PS C:\> Stop-service -force "avast! antivirus"
Я пытался остановить процесс через метерпретер командой kill, и через cmd , он только заного перезапускался, и получалось что уведомления от антивируса переставали приходить , но он все так же удалял все зараженные файлы. А вы пробовали через ps? Это сработало?
 

CHEATER

Active member
09.09.2017
32
20
#11
Обычно антивирус еще gmer-ом можно снять, ведь технология защиты у него стандартна - драйвер.
 

arm_n

Well-known member
26.02.2018
65
54
#14
Служба ekrn перезапускается, я как то пробовал написать бат файл который непрерывно её останавливает, но на атакуемой машине это не сработало
Попробуйте остановить службу так:
net stop Eset Service
HKLM\SYSTEM\CurrentControlSet\Services\Eset Service "Start"=dword:00000004
 

arm_n

Well-known member
26.02.2018
65
54
#17
Самому стало интересно. Поковыряюсь в разных АВ, попробую изучить их работу. Лично у меня антивирусы не установлены, поэтому и туплю :)
 
Последнее редактирование:

Lisenok

Well-known member
02.04.2016
103
61
#18
Самому стало интересно. Поковыряюсь в разных АВ, попробую изучить их работу. Лично у меня антивирусы не установлены, поэтому и туплю :)
Да и тем более для запуска батника надо сначало получить шелл помоему)))я заливать то их заливал, а запустить не мог допустим)
 

arm_n

Well-known member
26.02.2018
65
54
#19
если вы на удаленной машине запускаете powershell какой шелл вам еще надо? powershell позволяет запускать любой исполняемый файл напрямую, wmi, dism, cmd команды.Не запускается bat файл на удаленной машине? А на локальной он работает?
Как запускаете bat-файл?
 

Lisenok

Well-known member
02.04.2016
103
61
#20
если вы на удаленной машине запускаете powershell какой шелл вам еще надо? powershell позволяет запускать любой исполняемый файл напрямую, wmi, dism, cmd команды.Не запускается bat файл на удаленной машине? А на локальной он работает?
Как запускаете bat-файл?
Вот про то что через пс можно запустить батник не знал, можно поинтересоваться где об этом можно почитать?