IPS检测仪表HTTPS

Question

我忙于在客户端网络上进行安全测试，并被要求演示AV逃逸是多么“容易”。我通过躲避面纱创建了一个很好的powershell反向HTTPS文件，Symantec病毒扫描器(用Norton进行测试)没有检测到这个文件。

所以这很容易，但是当我运行它时--病毒扫描器的IPS部分(我测试了它，它纯粹是IPS) --仍然检测计量器网络流量。据我所见，在Wireshark中，连接到" Hello，Certificate，Server“消息，然后就会被杀死。

我的问题是IPS是如何检测到这一点的？是什么消息触发了这个IPS？然后，用什么来规避这个仍然使用计量器(而不必写我自己的后门)？

Answer 1

我想我们不知道IPS是怎么检测到的。这可能是类似签名/规则的IPS供应商之间的不同。顺便说一下，有许多工件可以用来识别反向HTTPS，例如来自NETRESEC博客上的这篇旧文章的X.509证书中用于Metasploit反向HTTPS的相同特性。

更新1:一些IPS可以通过充当您和您的目的地之间的中介来分析SSL/TLS集成协议，但是您必须接受它的证书。

更新2:例如，这是用于检测Meterpreter通过证书内容反向HTTPS的Snort规则34864和迪迪埃·史蒂文斯。我建议您下载并搜索Metasploit Meterpreter reverse HTTPS certificate文件中的community.rules文件。

Answer 2

默认情况下，Metasploit生成具有随机4字符CN的自签名证书.该证书的某些方面很可能是IPS触发的内容。

您可以通过在高级选项HandlerSSLCert中提供PEM格式的证书来覆盖此操作。