Come disabilitare l’antivirus

Installare un software antivirus sul tuo computer è un ottimo modo per dissuadere gli hacker. Al contrario, disattivare il software antivirus è un ottimo modo per sfruttare appieno un sistema fino in fondo, assicurandosi di non lasciare traccia. Se un hacker può in qualche modo entrare in un sistema sotto il naso dell’ antivirus, è molto probabile che venga beccato se l’antivirus esegue la scansione del sistema per i file e le connessioni dannose. Proteggersi è più importante di exploitare la vittima.

Meterpreter ci dà il controllo completo sul sistema. Possiamo inviare comandi per installare un keylogger, andare su altri computer della rete, guardare tutti i file e le directory, avviare e chiudere programmi a nostra volontà e molto altro. Qui esamineremo i comandi che gli hacker utilizzano per disattivare la protezione antivirus al solo fine di conoscere queste tecniche per proteggerci.

Se disponi di un antivirus nel computer, prova a chiuderlo dall’icona o dalla GUI. Vedrai che ti chiede di confermare l’azione. Ora apri il task manager e tenta di chiudere il file di processo antivirus (qualcosa di simile a avg.exe) (di solito) troverai che ora non ci sono altre domande e il processo antivirus viene terminato immediatamente. Questo perché l’amministratore ha più controllo sul sistema che l’antivirus, che è esattamente quello che useremo per eseguire questo hack.

Ancora una volta, questo tutorial suppone che tu abbia già incorporato meterpreter sul computer di prova/della vittima.

Innanzitutto, dobbiamo aumentare i nostri privilegi. Di solito, quando colleghiamo un “ascoltatore” in incognito (Meterpreter) sul sistema della vittima, l’ascoltatore ha gli stessi privilegi dell’utente. Al giorno d’oggi, sempre più software operativi (Windows 10, ad esempio) forniscono privilegi ridotti ad un utente, per impostazione predefinita. Ciò è per assicurarsi che l’utente non possa interagire con i file importanti (ad esempio quelli nella cartella system32) e aggiungere un alto livello di protezione da hacking. Per eseguire questo hack abbiamo bisogno di privilegi di amministratore (o sysadmin).

Fase 1: Ottieni l’ID dell’Utente

Prima di tentare di aumentare i nostri privilegi, controlliamo per sapere se siamo già l’amministratore. Perché? Perché, a volte essere pigri ed efficienti è uguale. È improbabile, ma la possibilità di esserlo c’è e in tal caso potremmo partire in quarta, potremmo arrivare direttamente all’hack. Scrivi:

meterpreter> getuid

Ora questo dovrebbe restituire l’ID dell’utente attualmente connesso. A seconda del sistema operativo, questa istruzione fornisce risultati diversi. Quello che cerchiamo sono le parole chiave “admin”, “sysadmin”, “authority”, “system”. Questi sono associati ad un account con privilegi di amministratore. Probabilmente non otterremo qualcosa così. Nel prossimo passo ci occupiamo di questa eventualità.

Fase 2: Aumentare i Privilegi

Semplice. Un solo comando:

meterpreter>getsystem

Solitamente uscirà qualcosa come:

Server username : NT Authority\System

Questo è ciò che cercheremo idealmente. Ma se si ottiene una qualsiasi delle parole chiave di cui sopra, va già bene. Noterete che Metasploit risponde con qualcosa come “… got system (with technique 1)” se tutto è andato come previsto. Ci sono molteplici funzionalità incorprate utilizzate da metasploit per cercare di aumentare i privilegi quando viene inviato il comando ‘getystem’. Esso li prova tutti per vedere quale funziona.

Fase 5: Termina l’antivirus

Ora abbiamo i privilegi dell’amministratore. Che cosa vogliamo dopo? Più potere, naturalmente. Metasploit ha uno script in Ruby chiamato killav.rb che cerca qualsiasi processo antivirus in esecuzione e lo arresta. Funziona su quasi tutti gli antivirus in modo da poter essere ragionevolmente sicuri che farà il suo lavoro. (In caso contrario, possiamo in alternativa cercare i processi in esecuzione e cercare di ucciderli manualmente). Eseguiamo lo script digitando:

meterpreter>run killav.rb

Dovresti vedere un output come “Killing antivirus …” e abbiamo finito, l’antivirus è stato eliminato e non può più interferire con le nostre attività. Idealmente, bisogna assicurarsi di essere nascosti prima di provare qualsiasi hack.

Chiaramente per difenderci da questi attacchi è importante un buon firewall/internet security in modo da ridurre drasticamente la possibilità che qualche malintenzionato possa agire da remoto impadronendosi del nostro PC e disabilitando l’antivirus.

Articolo creato 137

Articoli correlati

Inizia a scrivere il termine ricerca qua sopra e premi invio per iniziare la ricerca. Premi ESC per annullare.

Torna in alto