• XSS.stack #1 – первый литературный журнал от юзеров форума

AV\EDR Особенности av Sophos/Sentinel

Отслеживать
Whisper сказал(а):
И у вас такое получилось на софосе или каспере?
софос удалось выключить через службы,но был доступ к рдп и права админа , на каспере не пробовал.
 
coree сказал(а):
Как вообще обнаружить это центральный сервер?
попробуй просканировать через nmap все локальные диапазоны , на порт 443 и сними хедеры, после этого зайди на все https и так найдешь
или же как написанно снизу , делай скан на 4444 сразу чтобы найти именно сервер
 
Последнее редактирование:
Общие:135,137,139,445,8080,80,443
Nas synology port: 5000,5001 - Хранилище данных
Veeam: 9443,9392,9393,9401,6160 - Бекапы
DB mysql,mssql,db2,postgresql: 3306,1433,50000,5432,5433 - Базы данных
Veritas backup exec. 6101,10000,3527,6106,1125,1434,6102 server
3527,6106 - Бекапы
Oracle: 1521,1522
Remote control: 22,21,3389 4899,5900 - Возможность альтернативного подключения к компу
Nfs: 111,1039,1047,1048,2049
Iscsi: 860,3260
replication: 902,31031,8123,8043,5480,5722
Sophos Web: 4444
Sophos Console: 2195,8190,8191,8192,8193,8194,49152-65535
из известного мануала
 
Dropbear сказал(а):
Апну по другому аверу. Есть тренд микро на п0роле. Безопасный режим помогает отключить или удалить авер? Есть еще какие-то варианты кикнуть авер без ребута?
Если это офисскан, то можете попробовать через конфиг.
 
Dropbear сказал(а):
Ну можно криптовать гмер и им кикать его все процессы и службы автоматом стопнутся его
Вы будете криптовать драйверы?
У вас сам подход к вопросу не сулящий вам ничего хорошего. Вы думаете как вам взять паблик инструм, протащить на тачку, обеспечить там его запуск..., имхо следует подходить с позиции создания собственных инструментов. Я делаю дамп лсасс своим инструмом и как првило из самого процесса лсасс, пока что меня с этим еще ниодно ав не обломало. Тоже пытался по началу тащить на таргет всякий паблик но быстро понял что не вариант.
 
Whisper сказал(а):
Вы будете криптовать драйверы?
У вас сам подход к вопросу не сулящий вам ничего хорошего. Вы думаете как вам взять паблик инструм, протащить на тачку, обеспечить там его запуск..., имхо следует подходить с позиции создания собственных инструментов. Я делаю дамп лсасс своим инструмом и как првило из самого процесса лсасс, пока что меня с этим еще ниодно ав не обломало. Тоже пытался по началу тащить на таргет всякий паблик но быстро понял что не вариант.
Ну я не спорю что паблик выдрочен, но актуальность не теряет же. Я не криптую. Я давал человеку на крипт и он работал. Авера обходил и тушил, что и нужно было сделать. Я не кодер. Или там из гита сорцы переписывает под себя не умею. Так то понятно что своими наработками никто делится не будет, это его хлеб. Из паблика сентиель не обойти по лсассу никак?
 
Последнее редактирование:
Balora19 сказал(а):
Если он задетектит GMER (а он задетектит, даже с криптом), то начнет "орать" на сервер, слать смски на телефон и в мыло админу.
Ну если сентиель то да) Тут надо проверенный крипт брать. Но авер обойти можно. Это как дверной замок. Просто именно с сентиелем это пиздец тяжеловато да
 
Штуки вроде гмер и даже процесс хакер грузят драйвера для обеспечения своей полной функциональности. Драйвера не криптуются - крипт = слетание подписи = никак вы это не загрузите, разве что каким то сплойтом.
Современные ав очень хорошо себя защищают и покилять их даже из ядра будет нетривиальной задачей, а из юзера тем более. Ок вы не кодер, вы допустим пентестер, что вам мешает скооперироватся с кодером который не пентестер? Одному все не затащить, это очень трудно. Если чуствуете что не можете эффективно работать сами то может вам не перетряхивать паблики нужно а напарника поискать? Пилить что то на двоих куда приятнее, чем оставить ничего себе в полном объеме.
 
Balora19 сказал(а):
бро мб оффтоп, но есть советы по книгам или курсам по крипту?
Слышал был чел на форуме который любой криптолок билд делал андедектабл, как бы статик сделать не так и сложно вроде как, но самое сложное это рантайм, как он его обходил на уже скомпелированном PE, единстенное что приходит в голову этокрипт пэйдлоада и анкрипт при рантайме
Это в другой раздел тебе надо бро
Whisper сказал(а):
что вам мешает скооперироватся с кодером который не пентестер? Одному все не затащить, это очень трудно. Если чуствуете что не можете эффективно работать сами то может вам не перетряхивать паблики нужно а напарника поискать? Пилить что то на двоих куда приятнее, чем оставить ничего себе в полном объеме.
Да согласен. Без кодера сложно двигатся. Лайк убрал) 555 лучше смотрится имхо
 
Balora19 сказал(а):
бро мб оффтоп, но есть советы по книгам или курсам по крипту?
Слышал был чел на форуме который любой криптолок билд делал андедектабл, как бы статик сделать не так и сложно вроде как, но самое сложное это рантайм, как он его обходил на уже скомпелированном PE, единстенное что приходит в голову этокрипт пэйдлоада и анкрипт при рантайме
Зависит от пейлоада, как он себя ведет. Но вот тебе пример как это бывает. Ав ставит хуки не во всех процессах, если оно будет хучить во всех процессах то это будут тормоза системы. И так допустим мы имеем модуль(который готов работать как длл, это может быть и экзешник изначально тут суть в том готов ли он работать в чужом процессе) который палится рантаймом и нам с этим надо что то делать. Пишем свой модуль который как то забрасывает целевой модуль который палится в память процесса где нет хуков и там его исполняем.
Это все реализовать достаточно долго, достаточно сложно, потребует достаточно много знаний, исследований, тестов.
 
Я тут немного оффтопну тоже. Что бы потом пожинать плоды, надо что то сеять уже сейчас. Можно найти мои посты полуторогодовой давности про то как я хотел бы изучить питон, как то разобратся в линуксе потому что видел его только в кино когда хакеры че то там хачат, хотел как то разобратся в пентесте и хаке вообще потому что кроме асм и ц++ ничго не умел и не знал, а плюсы знал плохо... Дорогу осилит идущий.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх