[技术原创]【毒组x帮帮团】如果用攻击企业的方法攻击个人安全软件会怎么样呢？第四期-赛事回放-电竞赛事中心

本帖最后由神龟Turmi 于 2023-6-18 08:56 编辑

完结撒花截图龟速上传中

往期回顾

第三期：https://bbs.kafan.cn/thread-2250429-1-1.html

第一期：https://bbs.kafan.cn/thread-2181276-1-1.html

结果统计

https://docs.qq.com/sheet/DRkJWbnZTYUdNRmNu

三年前的第一期，我们测试过Empire框架对个人安全软件的攻击效果，半年前，我们测试过CobaltStrike框架对个人安全软件的效果。

最近，我了解到，很多红队并不会非常依赖这些开源的加载器，而是有一些预配置的商业方案，我决定来试一试。

刚好，有一个商业的AV Bypass工具作者愿意赞助我进行这个测试，感谢他提供的Bypass工具。

同时，有一个团队接盘了已经停止更新的Empire，我决定将新版本的Empire也加入测试，看看之前测试之后有没有安全软件做了更好的防御。

作为实验组，我们使用市面上几乎全部的个人安全软件来测试，并且完全保持默认状态。

我们的测试将做以下操作：

1.下载payload到本地

2.启动payload（可能有加载器）

3.样本建立c2连接（目标服务器为公网云服务器）

4.靶机上线

5.控制端下发命令截图

6.控制端下发命令获取c盘的一个txt文件（模拟窃取数据）

安全软件若在下列过程的任意一步以任意方式（包括静态扫描/启发/防火墙拦截c2等）阻止，则视为防御成功，只有在全部步骤执行完毕后依然毫无动作则视为防御失败。

本次测试的参与者：

卡饭病毒测试组：@神龟Turmi

卡饭帮帮团：@隔山打空气 @呵呵大神001

无团队成员：@東雪蓮Official @alpharabbit

本次我们为了测试准备了10个样本，分为Scenario-A（CobaltStrike）和Scenario-B（Empire）：

Scenario-A 样本1：基于CobaltStrike，使用XOR加密payload，使用direct syscalls替代原有依赖，打包为.Net 4.0可执行文件

Scenario-A 样本2：基于CobaltStrike，使用HEX混淆payload，使用direct syscalls替代原有依赖，附带一个伪造的数字签名，打包为.Net 4.0可执行文件

Scenario-A 样本3：基于CobaltStrike，使用AES加密payload，使用ConfuserEX混淆，打包为.Net 4.0可执行文件

Scenario-A 样本4：基于CobaltStrike，使用XOR加密payload，附带一个伪造的数字签名，使用LLVM编译为可执行文件

Scenario-A 样本5：基于CobaltStrike，使用XOR加密payload，使用Shikata-Ga-Nai混淆，使用LLVM编译为可执行文件

Scenario-B 样本1：基于Empire，模拟Ducky/Teensy等BadUSB的方式，使用击键的方式执行Powershell payload，无二进制落地

Scenario-B 样本2：基于Empire，打包为XSL文件，由wmic执行Powershell payload，无二进制落地

Scenario-B 样本3：基于Empire，打包为SCT脚本，由regsvr32执行Powershell payload，无二进制落地

Scenario-B 样本4：基于Empire，打包为VBS脚本，由scripthost执行Powershell payload，无二进制落地

Scenario-B 样本5：基于Empire，打包为XML文件，由msbuild执行Powershell payload，无二进制落地

以下为测试正篇，图片较多，请流量党小心观看

1号选手：Windows Defender（7/10）

Scenario-A 样本1：防御成功

Scenario-A 样本2：防御失败

Scenario-A 样本3：防御失败

Scenario-A 样本4：防御成功

Scenario-A 样本5：防御失败

Scenario-B 样本1：防御成功

Scenario-B 样本2：防御成功

Scenario-B 样本3：防御成功

Scenario-B 样本4：防御成功

Scenario-B 样本5：防御成功

2号选手：Kaspersky（10/10）

Scenario-A 样本1：防御成功

Scenario-A 样本2：防御成功

Scenario-A 样本3：防御成功

Scenario-A 样本4：防御成功

Scenario-A 样本5：防御成功

Scenario-B 样本1：防御成功

Scenario-B 样本2：防御成功

Scenario-B 样本3：防御成功

Scenario-B 样本4：防御成功

Scenario-B 样本5：防御成功

3号选手：360（6/10）

Scenario-A 样本1：防御失败

Scenario-A 样本2：防御失败

Scenario-A 样本3：防御成功

Scenario-A 样本4：防御失败

Scenario-A 样本5：防御失败

Scenario-B 样本1：防御成功

Scenario-B 样本2：防御成功

Scenario-B 样本3：防御成功

Scenario-B 样本4：防御成功

Scenario-B 样本5：防御成功

4号选手：奇安信（8/10）

Scenario-A 样本1：防御成功

Scenario-A 样本2：防御成功

Scenario-A 样本3：防御成功

Scenario-A 样本4：防御成功

Scenario-A 样本5：防御失败

Scenario-B 样本1：防御成功

Scenario-B 样本2：防御成功

Scenario-B 样本3：防御成功

Scenario-B 样本4：防御成功

Scenario-B 样本5：防御失败

5号选手：火绒（7/10）

Scenario-A 样本1：防御失败

Scenario-A 样本2：防御失败

Scenario-A 样本3：防御失败

Scenario-A 样本4：防御成功

Scenario-A 样本5：防御成功

Scenario-B 样本1：防御成功

Scenario-B 样本2：防御成功

Scenario-B 样本3：防御成功

Scenario-B 样本4：防御成功

Scenario-B 样本5：防御成功

6号选手：腾讯（1/10）

Scenario-A 样本1：防御失败

Scenario-A 样本2：防御失败

Scenario-A 样本3：防御失败

Scenario-A 样本4：防御失败

Scenario-A 样本5：防御失败

Scenario-B 样本1：防御失败

Scenario-B 样本2：防御失败

Scenario-B 样本3：防御失败

Scenario-B 样本4：防御失败

Scenario-B 样本5：防御失败

7号选手：金山（4/10）

Scenario-A 样本1：防御失败

Scenario-A 样本2：防御失败

Scenario-A 样本3：防御失败

Scenario-A 样本4：防御失败

Scenario-A 样本5：防御失败

Scenario-B 样本1：防御成功

Scenario-B 样本2：防御成功

Scenario-B 样本3：防御成功

Scenario-B 样本4：防御成功

Scenario-B 样本5：防御失败

8号选手：瑞星（2/10）

Scenario-A 样本1：防御成功

Scenario-A 样本2：防御成功

Scenario-A 样本3：防御失败

Scenario-A 样本4：防御失败

Scenario-A 样本5：防御失败

Scenario-B 样本1：防御失败

Scenario-B 样本2：防御失败

Scenario-B 样本3：防御失败

Scenario-B 样本4：防御失败

Scenario-B 样本5：防御失败

9号选手：Norton（8/10）

Scenario-A 样本1：防御成功（防火墙）

Scenario-A 样本2：防御成功（防火墙）

Scenario-A 样本3：防御成功

Scenario-A 样本4：防御失败

Scenario-A 样本5：防御失败

Scenario-B 样本1：防御成功

Scenario-B 样本2：防御成功

Scenario-B 样本3：防御成功

Scenario-B 样本4：防御成功

Scenario-B 样本5：防御成功

10号选手：Avast（9/10）

Scenario-A 样本1：防御成功

Scenario-A 样本2：防御成功

Scenario-A 样本3：防御成功

Scenario-A 样本4：防御失败

Scenario-A 样本5：防御成功

Scenario-B 样本1：防御成功

Scenario-B 样本2：防御成功

Scenario-B 样本3：防御成功

Scenario-B 样本4：防御成功

Scenario-B 样本5：防御成功

11号选手：Avira（8/10）

Scenario-A 样本1：防御成功

Scenario-A 样本2：防御成功

Scenario-A 样本3：防御成功

Scenario-A 样本4：防御成功

Scenario-A 样本5：防御成功

Scenario-B 样本1：防御失败

Scenario-B 样本2：防御失败

Scenario-B 样本3：防御成功

Scenario-B 样本4：防御成功

Scenario-B 样本5：防御成功

12号选手：ESET（10/10）

Scenario-A 样本1：防御成功

Scenario-A 样本2：防御成功

Scenario-A 样本3：防御成功

Scenario-A 样本4：防御成功

Scenario-A 样本5：防御成功

Scenario-B 样本1：防御成功

Scenario-B 样本2：防御成功

Scenario-B 样本3：防御成功

Scenario-B 样本4：防御成功

Scenario-B 样本5：防御成功

13号选手：Dr.Web（6/10）

Scenario-A 样本1：防御成功

Scenario-A 样本2：防御成功

Scenario-A 样本3：防御成功

Scenario-A 样本4：防御成功

Scenario-A 样本5：防御成功

Scenario-B 样本1：防御失败

Scenario-B 样本2：防御失败

Scenario-B 样本3：防御成功

Scenario-B 样本4：防御失败

Scenario-B 样本5：防御失败

14号选手：Bitdefender（10/10）

Scenario-A 样本1：防御成功

Scenario-A 样本2：防御成功

Scenario-A 样本3：防御成功

Scenario-A 样本4：防御成功

Scenario-A 样本5：防御成功

Scenario-B 样本1：防御成功

Scenario-B 样本2：防御成功

Scenario-B 样本3：防御成功

Scenario-B 样本4：防御成功

Scenario-B 样本5：防御成功

15号选手：McAfee（7/10）

Scenario-A 样本1：防御成功

Scenario-A 样本2：防御成功

Scenario-A 样本3：防御成功

Scenario-A 样本4：防御失败

Scenario-A 样本5：防御失败

Scenario-B 样本1：防御成功

Scenario-B 样本2：防御成功

Scenario-B 样本3：防御成功

Scenario-B 样本4：防御成功

Scenario-B 样本5：防御失败

16号选手：Malwarebytes（3/10）

Scenario-A 样本1：防御成功

Scenario-A 样本2：防御成功

Scenario-A 样本3：防御失败

Scenario-A 样本4：防御失败

Scenario-A 样本5：防御成功

Scenario-B 样本1：防御失败

Scenario-B 样本2：防御失败

Scenario-B 样本3：防御失败

Scenario-B 样本4：防御失败

Scenario-B 样本5：防御失败

17号选手：Sophos（10/10） PS：这tm完全就是个企业级的东西。。。哪有给家庭用户看ATT&CK Technique的。。。

Scenario-A 样本1：防御成功

Scenario-A 样本2：防御成功

Scenario-A 样本3：防御成功

Scenario-A 样本4：防御成功

Scenario-A 样本5：防御成功

Scenario-B 样本1：防御成功

Scenario-B 样本2：防御成功

Scenario-B 样本3：防御成功

Scenario-B 样本4：防御成功

Scenario-B 样本5：防御成功

18号选手：HMPA（5/10）

Scenario-A 样本1：防御成功

Scenario-A 样本2：防御成功

Scenario-A 样本3：防御成功

Scenario-A 样本4：防御成功

Scenario-A 样本5：防御成功

Scenario-B 样本1：防御失败

Scenario-B 样本2：防御失败

Scenario-B 样本3：防御失败

Scenario-B 样本4：防御失败

Scenario-B 样本5：防御失败

19号选手：Ikarus（7/10）

Scenario-A 样本1：防御成功

Scenario-A 样本2：防御成功

Scenario-A 样本3：防御成功

Scenario-A 样本4：防御失败

Scenario-A 样本5：防御失败

Scenario-B 样本1：防御成功

Scenario-B 样本2：防御成功

Scenario-B 样本3：防御成功

Scenario-B 样本4：防御失败

Scenario-B 样本5：防御成功

20号选手：Panda（5/10）

Scenario-A 样本1：防御失败

Scenario-A 样本2：防御失败

Scenario-A 样本3：防御失败

Scenario-A 样本4：防御失败

Scenario-A 样本5：防御失败

Scenario-B 样本1：防御成功

Scenario-B 样本2：防御成功

Scenario-B 样本3：防御成功

Scenario-B 样本4：防御成功

Scenario-B 样本5：防御成功

21号选手：TrendMicro（10/10）

Scenario-A 样本1：防御成功

Scenario-A 样本2：防御成功

Scenario-A 样本3：防御成功

Scenario-A 样本4：防御成功

Scenario-A 样本5：防御成功

Scenario-B 样本1：防御成功

Scenario-B 样本2：防御成功

Scenario-B 样本3：防御成功

Scenario-B 样本4：防御成功

Scenario-B 样本5：防御成功

22号选手：F-Secure（8/10）

Scenario-A 样本1：防御成功

Scenario-A 样本2：防御失败

Scenario-A 样本3：防御成功

Scenario-A 样本4：防御失败

Scenario-A 样本5：防御成功

Scenario-B 样本1：防御成功

Scenario-B 样本2：防御成功

Scenario-B 样本3：防御成功

Scenario-B 样本4：防御成功

Scenario-B 样本5：防御成功

23号选手：G DATA（9/10）

Scenario-A 样本1：防御成功

Scenario-A 样本2：防御成功

Scenario-A 样本3：防御成功

Scenario-A 样本4：防御成功

Scenario-A 样本5：防御成功

Scenario-B 样本1：防御成功

Scenario-B 样本2：防御成功

Scenario-B 样本3：防御成功

Scenario-B 样本4：防御成功

Scenario-B 样本5：防御成功

本主题由白露为霜于 2024-10-21 13:54 提升

本帖子中包含更多资源

您需要登录才可以下载或查看，没有帐号？快速注册

[技术原创]【毒组x帮帮团】如果用攻击企业的方法攻击个人安全软件会怎么样呢？ 第四期

[技术原创]【毒组x帮帮团】如果用攻击企业的方法攻击个人安全软件会怎么样呢？ 第四期

[技术原创]【毒组x帮帮团】如果用攻击企业的方法攻击个人安全软件会怎么样呢？第四期

[技术原创]【毒组x帮帮团】如果用攻击企业的方法攻击个人安全软件会怎么样呢？第四期