“当前已有100+用户参与分享,共计发放奖励50000+“
0x00 背景 客户原有一台AF部署在出口,现因为等保要求,需要在防火墙开通杀毒功能,由于项目上一直没有测试过防火墙的save杀毒功能,只在论坛看过一些测试文档案例,因此通过在实验环境搭建测试平台,对save杀毒功能做一个简单后门测试。
0x01 环境准备 服务端 kali 192.168.123.31/192.168.91.130 防火墙 AF v8.0.8规则库为当日最新 虚拟网线部署在服务端与客户端之间 客户端 2008 R2 192.168.123.13 样本为自建生成的后门文件,至于勒索病毒样本的测试案例太多,本次就不复测了。
1.msf生成的meterpreter反弹后门 2.pshell原版无后门 3.back.exe与pshell原版进行简单捆绑并通过upx加壳压缩 4.pshell通过shellter进行动态后门注入生成 5.msf生成混淆的poweshell的后门脚本 了
防火墙不开启相应save杀毒策略客户端下载对应后门
客户端下载运行样本3,在运行pshel同时会释放运行back2.exe后门程序
客户端下载样本4运行,可以看到pshell进程直接和服务端建立后门连接
客户端通过powershell iex远程下载样本5后门脚本,建立建立后门
客户端依次下载样本 下载样本1后门,提示发现病毒被阻断
同时可以看到样本4和样本5均不能被save策略拦截,将样本放到微步上看,有一定免杀能力
0x04 结论及建议 通过上述简单测试,可以看到AF的save安全功能,在一定程度上能够实现后门文件下载的检测阻断,但是对于动态注入类和powershell脚本的后门检测存在一定不足。在后续测试发现,防火墙通过云端联动云鉴功能,能实现对样本4类的后门识别检测,但依旧是依靠云端的样本进行匹配识别,对于内网环境而言识别率大大降低。
由于一般的PC客户端正常行为下,不会主动向外部下载powershell脚本,因此建议在内容安全里阻止其下载ps1的后缀名文件,一定程度上缓解针对powershell后门与攻击脚本。
客户端再通过管道下载,提示无法连接。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2020-6-27 22:29
发表于 2020-6-28 10:07
技术员2级 
