آموزش بایپس کردن و دور زدن آنتی ویروس ها و تکنیک های تشخیص Signature Base

آموزش بایپس کردن و دور زدن آنتی ویروس ها و تکنیک های تشخیص Signature Base

بدون ديدگاه

سلام خدمت تمامی کاربران عزیز تیم امنیتی بیت، در این آموزش میخوایم نحوه ساخت پیلودی که اکثر (یا تمامی) آنتی ویروس ها توانایی شناسایی اون رو ندارند رو بررسی کنیم و دور زدن آنتی ویروس ها رو به کمک این تکنیک بررسی کنیم

سیستم Antimalware ـه Microsoft داره کارش رو بهترین نحو برای جلوگیری از ورود برافزار ها به سیستم عامل ویندوز انجام میده

اما متاسفانه برای کاربران ویندوز، باید گفت که به کمک تکنیک های Bypass میشه به سادگی تشخیص بدافزار رو دور زد و Malware ـمون رو به سادگی میتونیم روی ویندوز اجرا کنیم

تشخیص آنتی ویروس ویندوز تارگت

AMSI یا همان Antimalware Scan Interface چیست؟

ستون فقرات مکانیزم Antimalware ـه Microsoft که همزمان با ویندوز ۱۰ چرخه حیاتش شروع شد Antimalware Scan Interface یا همان AMSI است

برای این که این مورد رو بهتر بررسی کنیم، بهتره تا نگاهی به توصیف خود Microsoft داشته باشیمک

Windows Antimalware Scan Interface یک Interface همه کاره است که این اجازه رو میده تا Application ها و Service ها با تمامی محصولات Antimalware در یک ماشین یکپارچه بشن، این مکانیزم یک یک راه حل بهبود داده شده برای کاربران است تا از داده ها و برنامه های خود به بهترین سکل ممکن محافظت کنند

در عکس زیر میتونید ببینید که Attacker در حال دانلود یک اسکریپت مخرب است (shell.ps1) که شامل کد مخربی است که به یک Attacker دسترسی Remote میدهد

زمانی که سعی میکنیم این اسکریپت رو در Powershell اجرا کنیم، AMSI با مکانیزم Signature Based خودش فعالیت بدافزار را شناسایی کرده و جلوی اجرای آن را میگیرد

آموزش بایپس کردن و دور زدن آنتی ویروس ها و تکنیک های تشخیص Signature Base

اما در عکس زیر همان اسکریپت را اجرا میکنیم، اما اینبار آن را مبهم (obfuscation) کرده ایم تا از شناسایی آن توسط سیستم های امنیتی جلوگیری کنیم

و همانطور که میبینید بعد از  اجرای اسکریپت پیامی در Powershell مشاهده میکنیم که نشان میدهد Connection با موفقیت به Attacker برقرار شده است

آموزش بایپس کردن و دور زدن آنتی ویروس ها و تکنیک های تشخیص Signature Base

محتوای مورد نظر تنها برای کاربران ویژه میباشد

لطفا با اکانت خود وارد شوید تا مطلب را مشاهده کنید

موفق باشید

نوشتن دیدگاه