如何关掉迈克菲杀毒软件:利用Mcafee管理工具绕过McAfee杀毒软件
如何关掉迈克菲杀毒软件:利用Mcafee管理工具绕过McAfee杀毒软件我们最后决定还是以ESConfigTool为目标,看看它是否有漏洞。我先创建了三个“特殊位置”:现在,先让我们下载一个试用版本的McAfee Endpoint Security,看看是否有入手点。McAfee Endpoint Security杀毒软件附带一个名为ESConfigTool的程序,可用于导入和导出配置文件。它的详细用法如下。我们发现,要从McAfee Endpoint Security得知安全设置,你需要:很遗憾这两者我们都没有。
这篇文章是关于我在一次红队活动中如何利用McAfee工具绕过McAfee Endpoint Security杀毒软件的故事。本来我没有计划写这篇文章,但当时的队友@fsdominguezand和@_dirkjan觉得此事值得被记录下来。现在,就让我们开始吧。
McAfee在以往,每当我们遇到McAfee Virus Scan Enterprise(VSE)的时候,都可以通过简单地查询注册表,了解到那些位置是管理员指定的“特殊位置”(不受杀毒软件影响)。
然而,在这次任务中,事情没那么简单。因为他们使用的是McAfee Endpoint Security,从VSE时代到现在,McAfee可能认为最好不要将“特殊位置”之类的信息以明文形式存储在任何人都可阅读的文件中。
那么,我们现在该把恶意文件放在哪里?
ESConfigToolMcAfee Endpoint Security杀毒软件附带一个名为ESConfigTool的程序,可用于导入和导出配置文件。它的详细用法如下。
我们发现,要从McAfee Endpoint Security得知安全设置,你需要:
- 解锁密码
- 管理权限
很遗憾这两者我们都没有。
现在,先让我们下载一个试用版本的McAfee Endpoint Security,看看是否有入手点。
我们最后决定还是以ESConfigTool为目标,看看它是否有漏洞。我先创建了三个“特殊位置”:
- C:\Windows\Temp\
- *mimikatz.exe
- C:\TotallyLegit\
还设置了密码保护:starwars。
打开一个cmd,看看我们是否可以得到这些设置信息。
Microsoft Windows [Version 10.0.16299.15] (c) 2017 Microsoft Corporation. All rights reserved. C:\Windows\system32>"C:\Program Files\McAfee\Endpoint Security\Endpoint Security Platform\ESConfigTool.exe" /export C:\Export.xml /module TP /unlock starwars /plaintext Command executed successfully. Please refer to Endpoint Security logs for details C:\Windows\system32>
让我们打开xml文件,看看是否有敏感信息:
<EXCLUSION_ITEMS> <EXCLUSION_ITEM> <EXCLUSION_BY_NAME_OR_LOCATION>C:\Windows\temp\</EXCLUSION_BY_NAME_OR_LOCATION> <EXCLUSION_FILE_TYPE /> <EXCLUSION_BY_FILE_AGE>0</EXCLUSION_BY_FILE_AGE> <EXCLUSION_TYPE>3</EXCLUSION_TYPE> <EXCLUSION_EXCLUDE_SUBFOLDERS>1</EXCLUSION_EXCLUDE_SUBFOLDERS> <EXCLUSION_ON_READ>1</EXCLUSION_ON_READ> <EXCLUSION_ON_WRITE>1</EXCLUSION_ON_WRITE> <EXCLUSION_SOURCE>0</EXCLUSION_SOURCE> </EXCLUSION_ITEM> <EXCLUSION_ITEM> <EXCLUSION_BY_NAME_OR_LOCATION>**\*mimikatz.exe</EXCLUSION_BY_NAME_OR_LOCATION> <EXCLUSION_FILE_TYPE /> <EXCLUSION_BY_FILE_AGE>0</EXCLUSION_BY_FILE_AGE> <EXCLUSION_TYPE>3</EXCLUSION_TYPE> <EXCLUSION_EXCLUDE_SUBFOLDERS>0</EXCLUSION_EXCLUDE_SUBFOLDERS> <EXCLUSION_ON_READ>1</EXCLUSION_ON_READ> <EXCLUSION_ON_WRITE>1</EXCLUSION_ON_WRITE> <EXCLUSION_SOURCE>0</EXCLUSION_SOURCE> </EXCLUSION_ITEM> <EXCLUSION_ITEM> <EXCLUSION_BY_NAME_OR_LOCATION>C:\TotallyLegit\</EXCLUSION_BY_NAME_OR_LOCATION> <EXCLUSION_FILE_TYPE /> <EXCLUSION_BY_FILE_AGE>0</EXCLUSION_BY_FILE_AGE> <EXCLUSION_TYPE>3</EXCLUSION_TYPE> <EXCLUSION_EXCLUDE_SUBFOLDERS>1</EXCLUSION_EXCLUDE_SUBFOLDERS> <EXCLUSION_ON_READ>1</EXCLUSION_ON_READ> <EXCLUSION_ON_WRITE>1</EXCLUSION_ON_WRITE> <EXCLUSION_SOURCE>0</EXCLUSION_SOURCE> </EXCLUSION_ITEM> </EXCLUSION_ITEMS>
是的,在拥有管理员权限以及输入了正确密码的情况下,你可以得到安全设置。让我们通过x64dbg软件,看一下它的整体流程。
Self-defense通常使用调试软件打开二进制文件是很简单的,但由于我们面对的是安全软件,所以有一些额外的障碍。一个重要的原因是,McAfee的大部分组件都有“自卫”功能。如果你尝试使用调试软件,将立即得到一个Debugging stopped消息,McAfee对这种可疑行为极为敏感。
