Green-sell.info

Новые технологии
1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Как обойти антивирус

Инъекция по-черному. Обходим антивирусы при помощи Shellter

Содержание статьи

Большая проблема многих пентестов в том, что «заряженные» исполняемые файлы, созданные с помощью Metasploit или других пентест-фреймворков, палятся практически всеми антивирусными вендорами. И поэтому вместо того, чтобы продолжать проникновение, пентестеру приходится думать, как обмануть антивирус. Проделывая эту работу от кейса к кейсу, очень много времени теряешь впустую. Поэтому постепенно начали появляться инструменты, автоматизирующие эту задачу. Один из них — Veil, фреймворк, про который в журнале уже была подробная статья от его создателей. Сегодня мы познакомимся с другим крутым инструментом по имени Shellter.

Quick Start

Для начала немного информации с официального сайта проекта. Значит, так, Shellter — это инструмент для динамического внедрения шелл-кода, да и вообще первый инструмент для динамического внедрения кода в PE-файлы (но стоит сразу отметить, что DLL-файлы не поддерживаются). Применяется для встраивания шелл-кода в нативные Windows-приложения (пока поддерживаются только 32-битные). В качестве полезной нагрузки могут выступать собственные шелл-коды или же сгенерированные с помощью какого-либо фреймворка, например Metasploit.

Преимущество Shellter в том, что в своей работе он опирается только на структуру PE-файла и не применяет никаких «грязных» приемов, таких как добавление новых секций с RWE-правами, модификация прав доступа к существующим секциям и прочие вещи, которые сразу же вызывают подозрение у любого антивируса. Вместо этого Shellter использует уникальный динамический подход, основанный на потоке выполнения целевого (заражаемого) приложения.

Основные фичи

Нельзя не привести довольно внушительный список возможностей, основные из которых (наиболее интересные) постараемся рассмотреть в статье.

  • Утилита работает в 32- и 64-разрядных версиях Windows (начиная с XP SP3), а также на Linux/Mac через Wine/CrossOver.
  • Не требует установки (достаточно распаковать архив).
  • Не тянет за собой никаких дополнительных зависимостей (типа Python или .NET).
  • Не использует статические шаблоны, фреймворки и так далее.
  • Поддерживает только 32-битные пейлоады (сгенерированные с помощью Metasploit или предоставленные пользователем).
  • Поддерживает все типы шифрования полезной нагрузки, предоставляемые Metasploit.
  • Можно использовать варианты шифрования для пейлоадов, предоставляемые пользователем.
  • Режим Stealth.
  • Возможность внедрения в один файл сразу нескольких пейлоадов.
  • Использует проприетарный режим шифрования пейлоадов.
  • Dynamic Thread Context Keys.
  • Включает в свой состав несколько адаптированных пейлоадов из Metasploit.
  • Имеет свой собственный встроенный движок для генерации полиморфного junk-кода.
  • Пользователь может также взять свой собственный полиморфный код.
  • Для предотвращения статического анализа используется информация из контекста потока.
  • Умеет обнаруживать самомодифицирующийся код.
  • Выполняет трассировку как одно-, так и многопоточных приложений.
  • Динамическое определение места для внедрения кода на основе потока выполнения программы.
  • Дизассемблирует и показывает потенциальные точки для внедрения.
  • Позволяет пользователю конфигурировать, что внедрять, когда и где.
  • Поддержка командной строки.
  • Абсолютно бесплатен.

На основе своей встроенной эвристики, движка отладчика, в динамике запускающего хост-файл и трейсящего указанное количество инструкций, Shellter находит подходящее место для безопасного размещения шелл-кода в PE-файле. Обязательные изменения в структуре PE-файла минимальны — удаляются флажки в DllCharacteristics (предотвращение релоцирования), очищаются данные о цифровой подписи.

В процессе работы Shellter трейсит только поток выполнения, происходящий в userland, то есть код внутри самого заражаемого приложения, а также «внешний» код, расположенный в системных библиотеках, в куче и так далее. Это делается для того, чтобы не пропустить функции целевого приложения, использующиеся только в качестве колбэков для Windows API. В процессе трассировки Shellter не учитывает и не логирует инструкции, находящиеся за границами памяти целевого приложения, так как на них нельзя будет сослаться при инжектировании шелл-кода.

Shellter-кукловод

Подбор целевого приложения

Немного познакомившись с принципами работы Shellter, коснемся теперь важного вопроса, как выбрать правильную цель для внедрения своего шелл-кода. Прежде всего, как уже было отмечено, приложение должно быть нативным и 32-разрядным. Еще одно условие — приложение не должно быть статически связано ни с какими сторонними библиотеками, кроме тех, что по умолчанию включены в Windows.

Так как главная задача данного инструмента — обход антивирусных решений, следует избегать также запакованных приложений, приложений, имеющих секции с RWE-правами или более одной секции кода: они изначально будут выглядеть подозрительно для антивируса.

Еще одна причина, почему следует избегать упакованных exe-шников, — это то, что большинство нормальных пакеров перед распаковкой проверят файл на наличие модификаций и, соответственно, после внедрения шелл-кода просто откажутся запуститься. К тому же практически все они напичканы антиотладочными приемами и быстро обнаружат, что Shellter пытается их оттрассировать (на данный момент Shellter умеет бороться только с PEB.IsBeingDebugged, PEB.NtGlobalFlag). Поэтому упаковывать приложение лучше всего уже после внедрения в него шелл-кода. А самый идеальный вариант — выбрать приложение, которое для антивируса выглядело бы как легитимное.

Запутываем следы

Теперь немного о том, какие же способы применяются для одурачивания антивирусов. Два основных способа — это использование junk-кода и шифрованных/саморасшифровывающихся пейлоадов. Shellter имеет встроенный полиморфный движок, который генерирует мусорный код указанного пользователем в байтах размера. Мертвый код исполняется после точки входа в шелл-код Shellter вплоть до исполнения полезной нагрузки или ее дешифровки. Мусорный код представляет собой последовательность холостых циклов (loopd), использование реальных данных программы (чтение/запись), вхождение в пустые процедуры, код которых ищется гаджетами в оригинальной кодовой секции программы хоста шелл-кода.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score! Подробнее

Статья Способы обхода антивирусов

Перейти к странице

Breed

Заблокирован

Приветствую всех!
Во время блуждания по сети в поисках интересующих меня ответов на вопросы, мне попалась на глаза занимательная статейка, которую я просто перескажу в переводе. На мой взгляд, она служит неплохим предисловием к теме Ondrik8 в разделе, доступном пользователям групп Paid Access & GreyTeam
Итак, начинаем.

Общее
Как упоминается в статьях CIA Wikileaks, антивирусное программное обеспечение можно обойти, приложив некоторые усилия. И, несмотря на то, что эта статья предназначена в первую очередь для пентестеров, она также покажет, какими способами можно обойти антивирусные программы и ограничения.

Здесь представлены некоторые идеи о том, как работают xak пентестеры. Будут рассмотрены некоторые основы, которые используются для обхода антивирусного программного обеспечения, но, как вы сами понимаете, этим данный список не ограничен.

Иногда при тестировании на проникновение можно столкнуться с ситуацией, когда антивирусное программное обеспечение всегда обнаруживает ваши полезные нагрузки. В этих случаях вам нужен хороший способ обхода антивирусов. Описанные ниже методы довольно общи, но работают практически со всеми антивирусами.

Поскольку основная полезная нагрузка выполняется с помощью msfvenom, можно утверждать, что полезная нагрузка(метод) должна «палиться» AV.

Кстати, метод обхода антивирусов также уклоняется от песочницы. Уклонение так же просто, как попытка открыть какой-либо файл, который обязательно существует при каждой установке-использовании. Например. «C: windows system.ini» — обычный, но важный ini-файл. Если этого не существует, мы находимся в среде песочницы, созданной антивирусным программным обеспечением, поэтому мы просто ничего не делаем. Когда осуществляется переход в нормальную среду, файл найден, тогда полезная нагрузка выполняется. Отправив файл на Virustotal.com, мы получим вероятность обнаружения 1/59 — всего одно антивирусное ядро обнаружило «подставу».

Кстати, напоминание новичкам и забывчивым (я добавляю от себя лично):
Отправляя файлы на Virustotal.com , вы сами «палите» методы обхода, способы упаковки и шифрования, ведь антивирусные компании получают файл в качестве образца. И он будет немедленно внесен в базы (и способ его получения).

Есть еще онлайн-сканеры. К примеру, я вот вытащил из обсуждений на форуме:

Используемое программное обеспечение:

  • Metasploit (msfvenom, multi/handler)
  • MinGW
  • Notepad

Ограничения
Нужно отметить, что Windows Defender и, возможно, большинство антивирусных программ станут «сигналить» о том, что «какая-то программа пытается подключиться к Интернету». Конечно, в ситуации тестирования на проникновение это может быть показательно по причине грубого написания кода эксплойта, который — напоминаю — нужен нам исключительно для тестирования на проникновение. Тем не менее, если вам удастся получить оболочку, изменив .dll какого-либо программного обеспечения и(или) обманув пользователя для запуска исполняемого файла, вы можете легко получить управление атакуемым ПК. Здесь можно перенести шеллкод на какой-то уже существующий процесс, который уже имеет доступ к Интернету, использовать существующие программы для запуска вредоносного кода, чтобы обойти ограничения на whitelisting. Способов избежать ограничений — множество.

Читать еще:  Как отключить антивирусник на ноутбуке

Конечно, в сети атакуемых могут быть некоторые системы межсетевых экранов /IPS /IDS, но их также можно пробовать обойти, например — используя SSL-кодированное соединение обратно к жертве. Но этот вопрос выходит за рамки данной статьи и гораздо серьезнее, чтобы быть рассмотренным в открытой ветке.

Настройка полезной нагрузки
Полезная нагрузка генерируется с помощью msfvenom, который является частью пакета Metasploit. С msfvenom можно создавать исполняемые файлы и dll-файлы прямо по ходу организации атаки, но, поскольку мы пытаемся уклониться от антивируса, то мы создаем полезную нагрузку в формате вывода C-стиля с помощью следующей команды:

DLL Method
Одним из способов обхода антивирусного программного обеспечения может быть создание вредоносного *.dll-файла и подмена некоторых существующих .dll на него несколькими способами.

Как обычно .exe-файлы считаются опасными, они на виду и запоминаются в процессе работы даже простыми пользователями. Но DLL-файлов гораздо больше и простые пользователи обычно не распознают DLL-файлы, как вредоносные. А потому в них куда проще внедрить участок кода.
Для целей тестирования этот фрагмент кода — это очень грубый .dll-файл, который можно запустить из командной строки и который не имеет каких-либо других функций.

Теперь .dll можно проверить с помощью антивирусного программного обеспечения, проверяя с Virustotal.com: ( напоминаю, что эти действия автора не рекомендуются! )

Не обнаружено ничего (0/60) антивирусным программным обеспечением. (а вот после проверки — наверняка будет!)

Теперь, чтобы проверить эксплойт в деле, установим multi/handler meterpreter для ожидания соединения.
И запускаем полезную нагрузку из эксплойта с помощью следующей команды в командной строке:

Шеллкод внутри .dll подключается обратно к атакующему, а оболочка теперь создана! Конечно, в реальной ситуации это остановит всю работу, но оболочка — это далеко не единственное, что может быть помещено в DLL-файл.

Исполняемые
Как и с .dll-файлом, проверим уклонение от песочницы, проверяя какой-либо существующий системный файл. Если файл найден, выполнение кода переносится в полезную нагрузку.

В этот раз после проверки в онлайн-сканере только Baidu заметил, что это — троян. Интересующиеся могут пометить для себя: а ПОЧЕМУ и вернуться к этому вопросу позднее.
Чтобы проверить это, multi/handler может быть настроен так же, как в DLL-методе чуть выше (обратите внимание, на другую полезную нагрузку) просто выполнив файл.

Злонамеренная полезная нагрузка через системы /IPS /IDS
В случае наличия систем /IPS / IDS перед жертвой эти файлы должны пройти через них, но они будут пойманы. Если фактические файлы будут пойманы, просто создайте защищенный паролем ZIP-файл и получите файлы, к примеру, через HTTP. Итак, что-то вроде windows / meterpreter / reverse_https можно использовать в качестве полезной нагрузки со следующими изменениями параметров:

С этими изменениями можно пытаться пройти через брандмауэры с включенными системами /IPS / IDS.
Ну и если все остальное терпит неудачу, то всегда есть dnscat

ВЫВОД
Поскольку атакуемый получит эксплойт (троян), который не обнаружен антивирусными программами, вы получаете управление атакуемым компьютером. Конечно, Windows Defender и антивирус имеют ограничения на новые подключения, но, к сожалению, эти сообщения игнорируются очень часто. Поскольку антивирус ничего не находит, многие чувствуют себя в безопасности.
Нет и еще раз нет! Основная часть ответственности за безопасность по-прежнему лежит на плечах пользователей, а антивирусам / брандмауэрам /IPS /IDS нельзя доверять, чтобы быть защищенными.

Как обмануть сигнатурный детект антивируса

Попробуем обмануть сигнатурный детект знаменитых антивирусных продуктов (Kaspersky, Avira, Avast и прочие на VirusTotal). Для этого попытаемся установить вредоносную нагрузку windows/shell/reverse_tcp от Metasploit. Начнем мы со сбора информации — что конкретно делает антивирусный продукт для того, чтобы остановить вредоносную программу.

Статические меры

Сигнатурный статический анализ основан на методе черного списка. Когда новые вредоносные программы обнаруживаются антивирусными аналитиками, генерируется подпись (она же сигнатура). Эта сигнатура является частью конкретного двоичного (исполняемого) файла, а точнее, первых исполняемых байтов. Таким образом, база антивируса содержит миллионы сигнатур, с которыми сравнивает сканируемый код.

Проблема этого подхода в его неспособности обнаружить новые вредоносные программы. Все, что нужно сделать создателю вредоносной программы — создать новый код или сделать небольшую модификацию существующего, сигнатура уже не сработает. Некоторые вирусы даже имеют способность менять свой код при каждом запуске.

Статический эвристический анализ — это когда антивирус проверяет обнаруженный файл на соответствие шаблонам вредоносных программ. Существует множество возможных правил, которые зависят от конкретного продукта. Основным преимуществом эвристического анализа является то, что его можно использовать для обнаружения новых вредоносных программ, которые не числятся в базе данных сигнатур. Главный недостаток заключается в том, что имеются ложные срабатывания. Например, программа, которая запускает экземпляр explorer.exe и записывает в свою виртуальную память, считается вредоносной (хотя по факту может таковой не являться).

Но если мы зашифруем злонамеренный шелл-код, то оба этих способа явно устарели. В зашифрованных байтах нет сигнатур или характерных действий. Вот почему все хорошие антивирусные продукты полагаются на динамический анализ.

Динамические меры

Это как раз то, о чем мы говорили выше: антивирусный продукт знает, что зашифрованный вредоносный код должен быть расшифрован, поэтому он пытается проанализировать его, запустив вредонос в эмулируемой среде. Соответственно, чтобы обойти этот метод анализа, вредоносная программа должна уметь различать, когда она запущена в виртуальной среде, а когда в реальной.

Из-за того, что антивирус не может использовать слишком много системных ресурсов (память, мощность обработки и т. д.), эмулируемая среда, конечно, отличается от реальной. Есть и другие методы анализа во время выполнения, но они сильно разнятся по конкретному антивирусу, поэтому рассмотрим их позже. Сейчас же попробуем обойти уже упомянутые методы.

Решения

Например, будем использовать Metasploit для генерации вредоносного пейлоада для Windows 10, у всех антивирусов должна быть сигнатура для него. Далее включаем пейлоад в программу на C++, которая будет решать, должна ли она расшифровывать и запускать вредоносную нагрузку или нет.

Вот строка кода, генерирующая пейлоад:

Напомним, что для начала мы тестируем вредоносную составляющую, которая расшифровывается при выполнении, как следствие, получаем предсказуемый результат детектирования на VirusTotal:

Выделение слишком большого объема памяти

В первом примере учитывался тот факт, что эмулированная среда не имеет большого пространства на жестком диске. Программа пытается выделить 10 000 000 байт памяти. Если ей это не удается (memdmp == NULL), она просто завершает работу. Если же это условие соблюдено, программа расшифрует и запустит наш пейлоад.

Антивирусы не могут позволить себе занять пространство такого размера для своей эмулируемой среды, поскольку пользователям не понравится, что их антивирусная программа использует гигабайты жесткого диска. Так что это иногда используется для обнаружения виртуальных сред, таких как VirtualBox и VMware.

Выходит, нужно отталкиваться от того, что среда анализа антивируса имеет слабую вычислительную мощность. Наша программа выполняет миллионы шагов в цикле for, антивирус должен ускорить процесс, чтобы пользователь не ждал слишком долго, поэтому он будет пропускать какие-то шаги. Учитывая это, наша программа проверяет значение счетчика, чтобы обнаружить наличие среды.

Принцип простой — эмулируемая среда никогда не сможет работать так же хорошо, как реальная.

Еще один интересный метод берет за основу то, что антивирусная программа не позволит анализируемой подключаться к интернету, потому что нет времени ждать ответа сервера. Следующий код использует тот факт, что эмулятор антивируса подставляет фальшивый сайт вместо запрашиваемого:

По-видимому, антивирусы меняют название процесса. Мы используем имя процесса, чтобы решить, хотим ли мы расшифровать пейлоад:

Читать еще:  Как убрать вирус вымогатель

Просто и со вкусом, однако не без недостатков — метод не сработает, если пользователь переименует файл.

Знайте вашу цель

В этом примере мы будем использовать некоторую конкретную информацию об атакуемой системе. Это может быть имя пользователя, наличие определенного файла и тому подобное.

Сканеры антивирусов, как правило, не могут писать в файл, находящийся по нетипичному пути.

Выводы

Антивирусные системы обнаружения не сложно обойти, если вы понимаете, как они работают. Вы можете попробовать сами, используя инструменты для тестирований на проникновение, такие, например, как AVET.

Кстати, изучая инструменты, которыми пользуются хакеры, вы также научитесь легко определять, заражена ли та или иная машина, а также в целом понимать принципы противостояния «антивирус — вредоносная программа».

Как обойти антивирус

Совет больше подойдет тем кто работает с ограниченным доступом или с полностью закрытым доступом к интернету через антивирус Касперского, в частности через функцию родительский контроль, которая полностью блокирует какую либо активность связанную с интернетом.

Большинство фирм и организаций для контроля интернет трафика своих работников, а так же уменьшить риск занесения вредоносного ПО из сети и контроль работы, чтобы сотрудники не висели в одноклассниках и контакте, используют легкий способ — установка родительского контроля через антивирус касперского. Тем более что этот антивирус используют 85% организаций. Оставляя в доверенной зоне лишь сайт организации либо рабочие каналы с которыми производится работа.

Рассмотрим самый жесткий способ — родительский контроль / параметр «ребенок».
Здесь блокируется полностью любая активность любого софта с интернетом.

Способ обойти родительский контроль очень прост.. нужно всего лишь использовать защищенное соединение в строке браузера, то есть https://
По каким причинам касперский не блокирует этот канал я не знаю, возможно через него он обновляет базы, а может просто лаборатория не учла это.

При использовании https:// в начале адреса вы можете свободно пользоваться всеми сервисами и сайтами которые поддерживают данный канал соединения, в частности почта gmail, интернет банкинг работа со своими счетами и картами (к примеру https://sbrf.ru/ Сбербанк онлайн).

Что делать если те сайты которые вы хотите посетить не имеют доступа через https://

Здесь вам на помощь придет любой поисковик (либо дома либо с мобильных девайсов и планшетов), вбейте в поиск «https прокси» или «https анонимайзеры», вам выдаст весомый список таких ресурсов. Есть платные и бесплатные, скоростные и не очень, с поддержкой закачки и без.. тут уже вам выбирать через какой серфить в сети.

После того как выбрали анонимайзер или прокси сервер, адрес скидываете себе на рабочую почту или на флешку или просто на листике запишите и придя на работу вводите адрес прокси в браузер (он обязательно должен начинаться с https://) и через него выходите на любой сайт какой вам захочется:)

Может кому пригодится.

Теги: Windows 7, Советы, Windows xp, Антивирус, Секреты, Совет, Мануал, Безопасность, Компьютер, Ноутбук, Вирус, Пк, Электронные деньги, Статьи,

Рекламный блок:
Бесплатные ЗАГРУЗКИ!

Касперский блокирует работу программ — что делать?

Cлучается, что широко-известный антивирус Касперского проявляет излишнюю осторожность и блокирует работу совершенно безобидных программ. Например, мне довелось столкнулся с тем, что Kaspersky Internet Security(KIS)не разрешает передавать файлы по встроенному в Total CommanderFTP-клиенту.

К счастью, решить такую коллизию довольно легко. Всё в том же Kaspersky Internet Security жмем на кнопку Дополнительные инструменты … :

Далее выбираем Дополнительно > Угрозы и исключения :

На сл. форме выбираем Настроить исключения :

Жмем на кнопку Добавить

Как обойти блокировку kaspersk’ого?

… и выбираем выполняемый модуль программы, для исключения из проверки антивирусом ( TOTALCMD.exe для случая нашего примера):

Ну собственно и всё. Теперь KIS не будет блокировать работу указанной программы.

В версии KIS 2016 (16.0.0.614) описанный механизм запуска доверенных программ реализован несколько иначе.

На Гл. форме выбираем Дополнительные инструменты :

Далее щелкаем слева по Режим Безопасных программ :

… и попадаем в форму генерации списка проверенных программ — тут нужно будет немного подождать :

В конце пути разрешаем нужные действия — например Total Commander‘у передавать данные по ftp :

Другойбанальной причиной того, что ваш любимый браузер вдруг перестал запускаться может быть выставленный в положение Запрещен переключатель Запуск :

Теперь попробуйте с такой настройкой загрузить все тот жеGoogle Chrome — точно потерпите фиаско :

В общем, мораль ясна.

Если появились проблемы при выходе в Сеть или не запускается новая программа — посмотрите внимательно настройки Антивируса Касперского (если он у вас установлен

, понятное дело :-). Не исключено, что именно тут и зарыта собака …

Как с помощью Касперского скрыть следы работы на компьютере — смотритеинформациюпо этой ссылке

Если нужно срочно проверить устройство на вирусы , попробуйте бесплатную утилитуKaspersky Virus Removal Tool

Как обойти антивирус за 5 минут

Дело в том, что антивирус Касперского не воспринимает сайты, как «плохие», если они находятся под протоколом https. Т.е. чтобы спокойно сидеть в любимой социальной сети Вам достаточно перед адресом http:// заменить на https://.

http://vk.com/ — Касперский Вас не пустит на сайт
https://vk.com/ — Касперский пустит Вас на сайт

Вот и все. Протокол https поддерживает множество сайтов, в частности: онлайн-газеты, онлайн-магазины, онлайн-банки.
А на другие сайты можно зайти, использовать анонимайзер от http://hideme.ru/.шаблоны для dleскачать фильмы

В антивирусе Касперском предусмотрена парольная защита от несанкционированного доступа к настройкам программы и контролю защиты. Паролем, также, может быть защищёно удаление антивируса. Если вы забыли пароль от Антивируса Касперского или Kaspersky Interne

Сброс забытого пароля в Антивирусе Касперского и Kaspersky Internet Security версий 2013-2017

Применимо для продуктов:

  • Антивирус Касперского 2013 — 2017
  • Kaspersky Internet Security 2013 — 2017
  • Kaspersky Free
  • Kaspersky Total Security 2015 — 2017
  • Kaspersky Small Office Security 3.0/4.0/5.0
  • Kaspersky CRYSTAL 3.0

Если вы не помните пароль от Антивируса Касперского, то при попытке отключить защиту или изменить настройки антивируса, появится запрос на ввод пароля.

В антивирусе Касперского версий 6.0 и 7.0, появится окно «Подтверждение пароля» с текстом «Для выполнения операции необходимо ввести пароль, заданный при настройке программы Антивирус Касперского».

В версиях 2009-2013 выводится запрос «Проверка пароля» и сообщение «Для выполнения этой операции необходимо ввести пароль»:

В антивирусе Касперского версии 2014 и выше, и в Kaspersky Free, экран будет затемнён и появится рамка с текстом «Вы действительно хотите приостановить защиту? Это действие снизит защиту вашего компьютера. Введите пароль»:

Если введен неправильный пароль, то появится окно с ошибкой «Задан неверный пароль» или «Введенный пароль неверен»:

В некоторых версиях, вместо окна с ошибкой, может появится всплывающее сообщение «Неправильный пароль. Попробуйте ввести пароль ещё раз»:

Также, в зависимости от настроек программы, при попытке удаления антивируса Касперского или Kaspersky Internet Security, может потребоваться ввод пароля. В таком случае, будет предложено ввести пароль для удаления программы:

Если вы не помните установленный пароль, то для его отключения пароля, можно использовать специальную утилиту:

Скачать утилиту сброса пароля антивируса Касперского

Скачайте архив KLAPR.zip и распакуйте файлы из архива. Затем, перезагрузите компьютер в Безопасном режиме. Запустите файл KLAPR.bat и, после запуска командной строки, нажмите любую клавишу на клавиатуре.

Дождитесь появления в окне строки с текстом: «The operation was successfull«.

Если появится сообщение «Not a single value was found…», значит утилита не обнаружила на компьютере установленную версию антивируса.

Как обойти IT-запреты на работе

В этом случае, воспользуйтесь альтернативной утилитой, предназначенной для более ранних версий антивирусов, описной ниже.

Сброс забытого пароля в Антивирусе Касперского и Kaspersky Internet Security версий 2007-2012

Применимо для продуктов:

  • Антивирус Касперского 6.0/7.0/2009 — 2012
  • Kaspersky Internet Security 6.0/7.0/2009 — 2012
  • Антивирус Касперского Яндекс-версия 2012
  • Kaspersky Small Office Security 2.0
  • Kaspersky CRYSTAL 1/2.0/
Читать еще:  Файловые вирусы примеры

Скачайте архив с утилитой и распакуйте все файлы из архива.

Скачать утилиту сброса пароля антивируса Касперского

Перезагрузите компьютер в Безопасном режиме. Запустите файл kaspersky_2007_2012_pass_reset.bat и, после появления командной строки, нажмите любую клавишу на клавиатуре.

После появления сообщения «Password Reset», нажмите любую клавишу на клавиатуре и перезагрузите компьютер.

Установка нового пароля в различных версиях Антивируса Касперского:

При необходимости, вы можете установить новый пароль. Для этого, в главном окне антивируса, щёлкните «Настройки». В окне настроек, в зависимости от версии антивируса, выберите вкладку:

В версии 6.0, выберите вкладку «Параметры», отметьте пункт «Включить защиту паролем» и нажмите кнопку «Настройка»;
В версии 7.0, выберите вкладку «Сервис», отметьте пункт «Включить защиту паролем» и нажмите кнопку «Настройка»;
В версии 2009 и 2010, выберите вкладку «Защита», отметьте пункт «Включить защиту паролем» и нажмите кнопку «Настройка»;
В версии 2012 и 2013, выберите вкладку «Основные параметры», отметьте пункт «Включить защиту паролем» и нажмите кнопку «Настройка»;

В версиях 2014 — 2017 и Kaspersky Free, выберите вкладку «Общие» и щёлкните по «Установить защиту паролем»:

В появившемся окне, дважды введите новый пароль, отметьте области действия пароля и нажмите «ОК»:

Запомните или запишите ваш новый пароль.

Закройте окно настроек нажав «Применить и «ОК».

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Как обойти антивирус за 5 минут

Бумажная безопасность порядком надоела, поэтому я решил немного отвлечься на практику. Не так давно мне представился случай лично убедиться, с какой легкостью злоумышленник, обладающий самой минимальной квалификацией, способен обойти популярные «топовые» антивирусы. Сегодняшний пост посвящен короткой истории поединка скрипт-кидди с одним популярным антивирусом.

Но, сперва, disclaimer:
1) Многое из написанного ниже, для экспертов, несомненно — боян. Но автор и не претендует на «срыв покровов». Статья призвана предостеречь тех пользователей, которые полагаются на антивирус как на панацею, при этом забывая о необходимости комплексного подхода к безопасности.
2) Статья написана исключительно в образовательных целях. Не нужно использовать эту информацию для совершения противоправных действий.
3) Статья не пытается бросить тень на производителей антивирусов. Уверен, что они делают все возможное, чтобы совершенствовать свои продукты.

Как-то раз нелегкая судьба безопасника (от которого часто требуют уметь все) занесла меня в пентесты. Была поставлена задача проверить уязвимость организации к вирусной атаке.

В компании использовалось антивирусное ПО от одного из топ-вендоров. Антивирусы были развернуты и на серверах (включая почтовые и прокси-серверы) и на компьютерах пользователей. Централизованное управление и обновление тоже было.
Неплохая защищенность и небольшой опыт в проведении пентестов не сулили затее особого успеха.
Однако, практическая реализация показала другое: злоумышленник может организовать атаку и обойти средства антивирусной защиты даже при помощи стандартных общеизвестных средств, доступных практически любому специалисту. Каким образом — описано ниже.

Стандартные инструменты
Как уже говорилось, злоумышленнику не нужно обладать высокой квалификацией. Достаточно навыков скрипт-кидди — найти подходящий инструмент.
Причем искать долго не придется — все необходимое есть в Metasploit Framework.

Хотя многие специалисты по ИБ наверняка о нем слышали, на всякий случай напомню: Metasploit представляет собой средство автоматизации пентестов от компании Rapid7 и содержащее большое количество готовых эксплойтов.
Помимо эксплойтов, Metasploit содержит набор готовых «полезных» нагрузок (payloads), проще говоря — вредоносного ПО.
А среди готовых «начинок» выделяется одна из самых популярных – Meterpreter. Meterpreter обладает широким функционалом: кейлоггер, запись фото и видео с веб-камеры, копирование куки и истории браузера, сбор учетных данных множества сервисов, включение RDP, заведение и удаление пользователей… Короче говоря, Meterpreter позволяет сделать с зараженной машиной практически все, что угодно. Meterpreter поддерживает различные варианты взаимодействие с сервером управления (включая TCP, HTTPS, соединение с шифрованием RC4). На роль инструмента для пентеста Meterpreter подходит прекрасно.
Таким образом, злоумышленнику не нужно ничего разрабатывать, достаточно «выгрузить» Meterpreter в подходящем формате (кстати, делается это одной командой).

Но для пользователей есть хорошая новость: Meterpreter обнаруживается практически всеми антивирусами. Если выгрузить его в exe-файл и «скормить» VirusTotal, то получим такой результат:

Как видим, антивирусы, в подавляющем большинстве, детектировали Meterpreterкак вредоносное ПО. Это и не удивительно: ему уже много лет.
Означает ли это победу антивируса над скрипт-кидди? Не совсем.

Антивирусы выходят из игры
После 5 минут поиска в Google находится сразу несколько готовых решений для обхода антивирусов. Познакомимся поближе с инструментом под названием Shellter ( сайт ).

Shellter используется для сокрытия вредоносного кода в исполняемых файлах Windows. Проще говоря, Shellter «вставляет» в нативное 32-разряднное приложение код вредоносной программы, который автоматически начинает выполняться при его запуске. Среди особенностей Shellter можно отметить минимальные изменения, вносимые в структуру исполняемого файла, использование «мусорного» кода и возможность кодирования «нагрузки». Все это затрудняет детектирование итогового файла антивирусами.
В автоматическом режиме работы Shellter требует минимального участия пользователя: Next, Next, Next и готово. Сначала выбирается PE-файл приложения, затем – нужный payload (причем Meterpreter в Shellter уже предусмотрительно встроен).
На выходе получается исполняемый файл, в котором скрыта «полезная» нагрузка в виде Meterpreter (или любого другого кода).

Если создать зараженный файл при помощи Shellter и попытаться проверить его через VirusTotal, то увидим следующее:

Показатель детектирования просто катастрофически упал. Это означает, что большинство антивирусов, установленных на рабочих местах и серверах не определят данный файл как опасный! На все про все, включая установку Shellter, ушло от силы 5 минут.
Таким образом, хотя сигнатура трояна известна уже много лет (Metasploit и Meterpreter входят в стандартную сборку Kali Linux), благодаря Shellter популярные антивирусы ничего не могут с ним поделать.

А как на практике?
Но тест на VirusTotal без испытаний «в поле» не показатель. Может быть при работе троян будет обнаружен по поведенческим признакам? Чтобы проверить это, протестируем файл на двух популярных антивирусах: Eset (5.0.21.26) и Kaspersky Internet Securiy (17.0.0.611).

Беглое тестирование показывает следующее:

1) Копирование и запуск файла не детектируется.
2) При запуске инфециорованного файла сессия до сервера управления (Metasploit) успешно открывается.
3) При выполнении некоторых действий (например, при попытке «миграции» Meterpreter в другие процессы), процесс Meterpreter’а детектируется как угроза.
4) При попытке использования веб-камеры, KIS запрашивает разрешение пользователя.
5) Большое количество функций Meterpreter’а все равно работает без обнаружения. В частности, прекрасно работает кейлоггер, скрипты сбора учетных данных, выгрузка информации из браузеров, скриншоты рабочего стола, копирование файлов. В принципе, этого достаточно для решения злоумышленником своих задач.

Таким образом, антивирусы конечно ограничивают функционал Meterpreter, но все равно оставляют широкий простор для злоумышленника.

Выводы и рекомендации
Тест еще раз показывает, что антивирус не является сам по себе панацеей. Средства обхода антивирусного ПО весьма популярны и находятся в свободном доступе. Разумеется, после загрузки части зараженных файлов на Virustotal, антивирусные базы будут пополняться, и возможности таких средств будут сокращаться. Но для защиты от таргетированных атак это не поможет.
Это не означает, что антивирусное ПО бесполезно. Просто без должной работы с персоналом его эффективность может быть сведена на нет.

История закончилась для пользователей легким «троллингом»: на рабочем столе появилось приглашение на корпоративный тренинг по ИБ. На тренинге им было рекомендовано:

  • не открывать подозрительные и рекламные почтовые вложения;
  • не включать без особой надобности макросы в документах;
  • подключать к компьютеру только проверенные носители информации;
  • устанавливать программы только с официальных сайтов;
  • не посещать подозрительные сайты;
  • проверять, куда ведет та или иная ссылка;
  • регулярно обновлять ПО (включая офисные программы и браузеры).

Конечно эти меры сами по себе не помогут обнаружить и нейтрализовать любое вредоносное ПО, но по крайней мере снизят число возможных способов ззаражения им.

На этом, пожалуй, все.

Если эта статья будет полезной — напишите в комментариях. Возможно, стоит сместить акцент блога с нормативки на практическую ИБ.

Ссылка на основную публикацию
Adblock
detector