最近，我使用P4wnP1 image把我手頭的Raspberry Pi Zero W轉換成了一個bad USB。我的最終目標是運行遠程命令shell，同時繞過已啟用完全保護的最新版Symantec SEP。我通過創建自己的有效負載payload，可以輕松的運行遠程shell，但由于Symantec提供的高級功能SONAR和IPS檢測技術使其難以執行。想要解決這個問題并不難，你只需對payload進行加密傳送即可，因為這樣賽門鐵克將無法對其進行分析。

在本文的內容正式開始之前，我建議大家先去閱覽以下是這些有關反病毒繞過的文章：

http://niiconsulting.com/checkmate/2018/06/bypassing-detection-for-a-reverse-meterpreter-shell/

https://gbhackers.com/malicious-payload-evasion-techniques/

https://www.shellterproject.com/

實驗環境及設備要求：

Raspberry Pi Zero W 和 SD Card

Pi Zero W USB A addon（https://www.amazon.com/MakerFocus-Raspberry-Required-Provide-Connector/dp/B077W69CD1?and?http://www.raspberrypiwiki.com/index.php/Raspberry_Pi_Zero_W_USB-A_Addon_Board）

用于攻擊的筆記本電腦，本文中的攻擊機IP為192.168.1.106。

啟用Symantec SEP完全保護的Windows 10機器

設置

P4wnP1

在這里我不會再對P4wnP1 USB的設置進行說明，因為已有幾篇文章對此進行了詳細的介紹。你可以參閱官方的git?https://github.com/mame82/P4wnP1_aloa?和 WIKI?https://p4wnp1.readthedocs.io/en/latest/。

設置的一些注意事項，我更改了以下的重要設置項：

熱點名稱

USB HID攻擊腳本

最終設備的一些圖片。

受害者機器

我的測試機器運行Windows 10.0.16299.125 和 Symantec Endpoint Protection 14.2的試用版。中國菜刀

我還需確保UAC在默認設置下已啟用。

攻擊機

我將自己定制的Ubuntu機器用于滲透測試。測試的一個警告是，我在同一個網絡上才能連接。你可以通過443等端口隱藏你的連接和出站，這在公司網絡上通常是允許的，幾乎沒有過濾。

攻擊我們的目標

Payload

混淆技術在躲避payload檢測方面發揮著巨大作用。我喜歡使用c# 或 c來創建自己的payload。這里有一篇關于這方面的精彩文章，你可以進行參閱?https://medium.com/@Bank_Security/undetectable-c-c-reverse-shells-fab4c0ec4f15。對于這個特定的實例，我使用了一個簡單的c# payload，源碼由上述作者在github托管和創建。

這里我要提醒你對攻擊機的IP和端口做一些小的改動，我使用443端口進行測試。

我在受害者機器上運行了一個測試實例，我很驚訝賽門鐵克竟然沒有檢測到。

Payload Delivery

傳送payload并不容易。賽門鐵克的SONAR非常嚴密的監控著powershell和命令提示符，似乎能檢測到我所有的行為。

我嘗試使用certutil從我本地網絡服務器上托管的網站上來提供payload。另一種方法是將payload解碼為base64，并使用certutil進行解碼。但這都失敗了。天空彩

最終我使用了一種非常簡單的技術，就是通過正在運行的SyncAppvPublishingServer來執行代碼。你可以在這里找到有關該技術及類似技術的詳細說明。這也讓我完全躲過了賽門鐵克對powershell的監控。

傳送payload我使用了一個簡單的命令，通過已躲避檢測的powershell下載payload，并且自定義的payload也可以躲避檢測。下載后文件將從用戶的配置文件中運行。讓我們注意力轉向以下代碼。

獲取 shell

為了完成攻擊，我設置了bad USB來執行命令。下面是我的設置中的一些圖片。我通過WiFi連接到了我的Android手機，訪問了我的bad USB。賽門鐵克沒有檢測到，因為這不是USB設備，而是被當作鍵盤。

HID腳本被設置為等待用戶重復性按下Numlock鍵，何時以及如何執行你完全可以根據你個人的喜好進行修改。注意！USB HID設備將在屏幕上顯示，你必須確保用戶不會發現或懷疑才行。

我設置的HID腳本如下：

執行后，我獲得了一個遠程shell。

更新—?其他AV解決方案

根據反饋，我試著測試其他一些解決方案。

到目前為止，Windows Defender在攻擊檢測方面的能力還是非常強的，如下所示。

Windows Defender

賽門鐵克

未來計劃

使用基于c的持久性payload傳送

修改HID使其更為隱蔽

總結

以上是生活随笔為你收集整理的P4wnP1 USB与赛门铁克反病毒绕过的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。