Comments 13
Таким образом сессия запущена и Windows Defender не сработал, чего мы и добивались.
Так они с вирустоталом и не должны, можно даже не проверять. Для них же это просто интерпретатор с каким-то там байткодом, причем первый гарантировано чист, а второй они анализировать пока не умеют
А где собственно обход защиты? Вы как исполняли бинарник с правами пользователя, так и исполняете.
Копируете бинаркник на компьютер жертвы и запускаете его там руками? Это не подходит под определения вируса от слова совсем.
С таким же успехом можно было просто telnet или ssh сервер запустить абсолютно легитимно.
Но ведь руками мы запускаем в рамках этого кейса. Представьте что копирует один человек, а запускает совсем другой =) Ирл наша задача загрузить (например отправить по почте) и каким то манипуляциями запустить его (например соц инженерия).
А можно просто заставить запустить преконфигурированный openssh (можно даже переименовать его и сконпилировать уже со своим ключём).
Этот метод внезапно обойдёт вообще все известные антивирусы.
UFO just landed and posted this here
Вопрос прямой — как такую гадость задетектить или не дать ей выполниться?
Кроме SRP разве что :)
Кроме SRP разве что :)
в
лучше:
Тогда при запуске скомпилированной программы не будет открываться окно консоли.
setup.pyвместо:
console=['hunt.py']
лучше:
windows=['hunt.py']
Тогда при запуске скомпилированной программы не будет открываться окно консоли.
Sign up to leave a comment.
Обходим Windows Defender дешево и сердито: meterpreter сессия через python