Защита от Meterpreter

SayMoon

Member
Регистрация
25.09.2016
Сообщения
14
Оценка реакций
7
Представляю способ защиты от одного зверя Meterpreter из зоопарка Metasploit, который поможет выявить зловредный шелл на вашем устройстве.

Скачать ее можно здесь -

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.




Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.



Переходим в папку exe, затем в папку соответствующую разрядности нашей системы. Запускаем файл AntyPwny.


Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.



Программа проводит сканирование системы и выдает результаты.

В моем случае она приняла за носителей вредоносных шеллов skype и opera, в раскрытом меню Оперы можно увидеть как мой IP «стучится» на разные внешние адреса, в основном принадлежащие Ян****у. При открытии ветви Skype, видно более 10 различных реверс подключений на M****soft.

В случае, если у вас запущен шелл злоумышленника, картина будет примерно следующей:


Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.



Заражен процесс программы X-PRO, видим, с каким адресом мой компьютер будет связываться. Правой кнопкой мыши жмем на процесс = > kill process.

В целом, запущенная фоном, эта программа очень негативно влияет на работу шелла. Запросы отваливаются по таймауту, сессия может просто закрыться, миграция на другие процессы не срабатывает. Видно на скриншоте ниже:


Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.



Так же, в фоновом режиме, она сканирует память каждые 30 сек, и в случае обнаружения meterpreter, будет предупреждать владельца всплывающим сообщением на панели задач.
На этом все. Спасибо за внимание.