Do ataku uzylem wlasnego autorstwa polimorficznego szyfrowania na starym jak swiat reverse meterpreterze (ktory jest wykrywalny przez wszystkie antywirusy ^^) + spoofing certyfikatu aplikacji TeamViewer 9. Prosze zwrocic uwage na fakt ze zainfekowany FUD plik posiada identyczny rozmiar co oryginalna aplikacja TeamViewer ^_^.
W systemie zainstalowany Eset Endpoint Security w najnowszej wersji posiada ustawienie:
- Aktywny firewall / zapora oparta na regulach utworzonych w trybie uczenia sie
- HIPS (rodzaj sandbox'a) / oparty na regulach utworzonych w trybie uczenia sie (w regulach nie ma naszego pliku )
- Aktywne zabezpieczenie przed modyfikacja aplikacji
- Aktywny antywirus z zaawansowana hereustyka
Jak sie okazuje istnieje mozliwosc podmiany aplikacji ktora juz wczesniej otrzymala zgode w regulach firewall na laczenie sie na docelowym porcie (w naszym przypadku TeamViewer port 443)
https://www.youtube.com/watch?v=aaAJ-jjNCdo
W systemie zainstalowany Eset Endpoint Security w najnowszej wersji posiada ustawienie:
- Aktywny firewall / zapora oparta na regulach utworzonych w trybie uczenia sie
- HIPS (rodzaj sandbox'a) / oparty na regulach utworzonych w trybie uczenia sie (w regulach nie ma naszego pliku )
- Aktywne zabezpieczenie przed modyfikacja aplikacji
- Aktywny antywirus z zaawansowana hereustyka
Jak sie okazuje istnieje mozliwosc podmiany aplikacji ktora juz wczesniej otrzymala zgode w regulach firewall na laczenie sie na docelowym porcie (w naszym przypadku TeamViewer port 443)
https://www.youtube.com/watch?v=aaAJ-jjNCdo