Публикации
Инструменты обхода защиты Windows Firewall
Всероссийский сборник статей и публикаций института развития образования, повышения квалификации и переподготовки.
Скачать публикацию
Язык издания: русский
Периодичность: ежедневно
Вид издания: сборник
Версия издания: электронное сетевое
Публикация: Инструменты обхода защиты Windows Firewall
Автор: Рулёв Степан Анатольевич Календарев Егор Максимович
Периодичность: ежедневно
Вид издания: сборник
Версия издания: электронное сетевое
Публикация: Инструменты обхода защиты Windows Firewall
Автор: Рулёв Степан Анатольевич Календарев Егор Максимович
Инструменты обхода защиты Windows FirewallРулёв Степан АнатольевичКалендарев Егор МаксимовичСтудентыРГУ нефти и газа (НИУ) имени И.М. Губкина, Москва, РоссияАннотация. В статье представлены возможные методы обхода защиты Windows Firewall в обучающих целях с использованием технологии реверсивной оболочки. Описываются принципы работы таких утилит, как HoaxShell, Nim-Reverse-Shell, PowerShell Empire, msfvenom, а также роль реверсивных соединений в обходе ограничений на входящие соединения. Статья предназначена для специалистов по информационной безопасности, системным администраторам, разработчикам, интересующимся и нуждающимся в качественном использовании Windows Firewall.Ключевые слова: Windows, Windows 11, Windows Firewall, файрволл, терминал, командная строка, реверсивная оболочка.Для цитирования: Рулёв С.А. & Календарев Е.М. (2025). Инструменты обхода защиты Windows Firewall.Windows Firewall Bypass ToolsRulev Stepan AnatolievichKalendarev Egor MaksimovichNational University of Oil and Gas «Gubkin university»Annotation. The article presents possible methods of circumventing Windows Firewall protection for educational purposes using reverse shell technology. The principles of operation of such utilities as HoaxShell, Nim-Reverse-Shell, PowerShell Empire, msfvenom, as well as the role of reverse connections in circumventing restrictions on incoming connections are described. The article is intended for information security specialists, system administrators, and developers who are interested in and need high-quality use of Windows Firewall.Keywords: Windows, Windows 11, Windows Firewall, firewall, terminal, command line, reverse shell.For citation: Rulev S.A. & Kalendarev E.M. (2025). Windows Firewall Bypass Tools.ВведениеСовременные операционные системы, включая Windows, оснащаются встроенными механизмами защиты. Одним из таких механизмов является Windows Firewall. Он играет важную роль в контроле входящего и исходящего сетевого трафика, ограничивая потенциально опасные соединения и предотвращая несанкционированный доступ. Однако, несмотря на высокую эффективность, существуют методики, позволяющие обойти эту защиту, особенно в контексте реверсивных оболочек (reverse shell).Актуальность исследования обусловлена ростом интереса к методам удалённого управления системами, а также необходимостью повышения устойчивости защитных механизмов к таким видам взаимодействия. Использование реверсивных оболочек позволяет злоумышленникам инициировать соединение между машинами изнутри защищаемой системы, что даёт возможность обойти внешние фильтры и межсетевые экраны.В исследовании наиболее подробно разобраны такие инструменты и утилиты, как Nim-Reverse-Shell, HoaxShell, но также существуют и powershell Empire, msfvenov.Целью данного исследования является анализ уязвимостей, позволяющих обойти Windows Firewall с помощью реверсивных соединений, и проверка эффективности защиты Windows 11 при использовании популярных инструментов.Основные задачи, стоящие перед исследованием, заключаются в анализе эффективности встроенных защит Windows 11 против подобных техник:– Проанализировать архитектуру Windows Firewall в Windows 11;– Исследовать существующие подходы к созданию реверсивных оболочек;– Экспериментально проверить возможность обхода файрвола с использованием Nim-Reverse-Shell и HoaxShell;– Оценить устойчивость системы к данным методам.Определения терминовWindows – семейство проприетарных операционных систем, разработанных корпорацией Microsoft. Широко используется в корпоративной и пользовательской среде. Включает графический интерфейс, встроенные средства безопасности, сетевой стек и множество компонентов для работы с программами и файлами. Windows Firewall – встроенный межсетевой экран в операционных системах Windows, предназначенный для фильтрации сетевого трафика. Контролирует входящие и исходящие соединения на основе заданных правил, блокируя нежелательную или потенциально опасную активность. Командная строка – текстовый интерфейс, в котором пользователь вводит команды для выполнения их операционной системой. Может быть частью оболочки или отдельным компонентом, как, например CMD в Windows или Terminal в Linux. Терминал (shell) – интерфейс между пользователем и операционной системой, позволяющий выполнять команды и управлять системой. В контексте shell чаще всего имеется в виду командная оболочка, такая как bash, cmd.exe, powershell, через которую можно запускать команды, скрипты и взаимодействовать с ОС. Реверсивная оболочка (reverse shell) – это способ удалённого управления компьютером, при котором заражённая машина сама устанавливает соединение с атакующим, позволяя ему получить удалённый доступ к командной строке или оболочке. Nim-Reverse-Shell – инструмент, реализующий реверсивную оболочку на языке программирования Nim. Hoaxshell – обфусцированная, основанная на HTTP, реверсивная оболочка, которая часто используется для обхода стандартных средств защиты, так как маскирует соединение под обычный веб-трафик. msfvenom – компонент фреймворка Metasploit, предназначенный для генерации полезных нагрузок, в том числе реверсивных оболочек, с возможностью обфускации и настройки параметров доставки. PowerShell Empire – фреймворк для постэксплуатации и командного управления, использующий возможности PowerShell для создания и управления обратными соединениями. Анализ источниковВ процессе подготовки исследования были проанализированы источники, охватывающие аспекты информационной безопасности, особенности работы брандмауэра Windows и методы обхода сетевых фильтров с использованием реверсивных оболочек.Базовые сведения о Windows как операционной системе и о встроенном в неё брандмауэре представлены в материалах [1][2]. Эти источники дают представление о функционировании системы безопасности Windows, включая фильтрацию входящих и исходящих соединений, что необходимо для понимания контекста реализации реверсивных соединений.Статья Xygeni [3] раскрывает теоретические аспекты реверсивных оболочек, акцентируя внимание на механизме их функционирования, преимуществах для атакующего и угрозах для защищаемой системы. Практическое применение реверсивных оболочек представлено в репозиториях GitHub, таких как HoaxShell [4 и Nim-Reverse-Shell [5]. Эти проекты иллюстрируют современные реализации реверсивных соединений с акцентом на обход обнаружения и взаимодействие через нестандартные каналы связи. Дополнительно изучено средство ScareCrow [6], направленное на обход средств защиты Windows, что также способствует успешной реализации скрытых подключений.Средства пост-эксплуатации, такие как PowerShell Empire [7], освещают подходы к закреплению доступа и дальнейшему управлению системой после получения первоначального контроля. Этот инструмент подчёркивает комплексность современных атак и необходимость многоуровневой защиты.Таким образом, проанализированные источники формируют целостное представление о возможностях обхода Windows Firewall с использованием технологии reverse shell.Методы исследованияТип исследования: прикладной анализ с элементами тестирования в виртуальной среде.Характеристика выборки: в качестве объектов исследования выбраны такие инструменты для обхода Windows Firewall, как Nim-Reverse-Shell и HoaxShell. Тестирование проводилось в среде Windows 11 с включенным встроенным брандмауэром.Методы сбора данных: информация собиралась путём тестирования описанных инструментов в условиях реального функционирования системы. Проводился запуск реверсивных оболочек с последующей фиксацией реакции системы безопасности, сетевого трафика и поведения брандмауэра. Также использовались данные из технической документации, официальных репозиториев GitHub, профильных статей и аналитических обзоров.Методы обхода Windows Firewall и анализ инструментовРабота Windows Firewall базируется на модульной фильтрации сетевого трафика, реализуемой через компоненты Windows Filtering Platform (WFP) и Base Filtering Engine (BFE). Архитектура обеспечивает разграничение политик по типам сетевых профилей и уровням взаимодействия, однако при этом допускает исходящие соединения по умолчанию. Данное архитектурное допущение представляет потенциальную уязвимость, эксплуатируемую современными реверсивными оболочками. Одним из самых простых в использовании методов создания реверсивной оболочки является Nim-Reverse-Shell. Данный инструмент разработан на языке программирования Nim и компилируется в исполняемый файл с расширением .exe, который в дальнейшем можно переименовать. Исходный код на деле реализует простейший удалённый шелл, который позволяет подключённому удалённо клиенту выполнять команды на компьютере, где запущен этот скрипт:Создаётся сокет. Устанавливается IP-адрес и порт, к которым будет подключаться; Пытается подключиться к указанному IP и порту. Если подключение успешно, то запускается бесконечный цикл; В цикле отправляет текущую директорию клиенту как приглашение командной строки, получается команду от клиента. В общих случаях выполняет команду через cmd и отправляет результат клиенту. Таким образом, можно удалённо выполнять любые команды в терминале удалённого компьютера, при этом Windows Firewall никак не реагирует на данное подключение и не блокирует его.Далее рассмотрим HoaxShell. HoaxShell – это инструмент, который используется для создания обратных шеллов, часто в целях тестирования безопасности или в вредоносных сценариях. В целом, процесс подобен Nim-Reverse-Shell. Основная цель HoaxShell – это предоставить возможность удалённого выполнения команд на жертве, которая подключается к атакующему. Он работает следующим образом:Открывает сокет-соединение с атакующим компьютером; Аналогично принимает любые команды, в том числе операционные, от атакующего и выполняет их на жертве; После выполнения команды HoaxShell отсылает результат обратно атакующему; HoaxShell может работать в фоновом режиме и скрывать свою активность от антивирусных программ или пользователей, также способен замаскировать свою активность под нормальные процессы или приложения. Также кратко обсудим другие инструменты создания реверсивной оболочки:powershell Empire – фреймворк для постэксплуатации, использует PowerShell для создания агентов на заражённых машинах, позволяет управлять ими, выполнять команды, загружать файлы, использовать модули для привилегий, распространения и устойчивости. Работает через HTTP/HTTPS, поддерживает шифрование и обход обнаружения. msfvenom – часть фреймворка Metasploit Framework, предназначена для генерации полезной нагрузки и их упаковки в различные форматы (exe, dll). Позволяет создавать исполняемые файлы с встроенным шеллом, которые при запуске подключаются к атакующему и дают удалённый доступ. Результаты теоретического анализаПроведённый теоретический анализ продемонстрировал, что современные инструменты создания реверсивных оболочек обладают высокой степенью адаптивности и способны обходить стандартные средства защиты, такие как Windows Firewall. Рассмотренные решения — Nim-Reverse-Shell и HoaxShell — обладают минимальной активностью, легко маскируются под легитимные процессы и потенциально могут оставаться незамеченными системой безопасности. Исходя из этого, вероятно, при использовании указанных реверсивных оболочек на целевой системе с включённым Windows Firewall, подключение с атакующей машины будет установлено успешно, без блокировок и уведомлений со стороны защитных механизмов. Предположительно наиболее эффективным способом обхода станет использование HoaxShell, благодаря его способности маскироваться и работать через легитимные каналы (например, PowerShell), в то время как Nim-Reverse-Shell может быть замечен при ручной проверке запущенных процессов, но всё ещё останется незамеченным файрволом.Практическая частьДля оценки возможностей обхода Windows Firewall были подготовлены две виртуальные машины:– Атакующая: Ubuntu 22.04 LTS, IP 192.168.0.192– Целевая: Windows 11 Home, сборка 10.0.22621 (build 22621)1 способ: Обход с помощью Nim-Reverse-Shell.Для начала скомпилируем наш Nim файл с reverse-shell в .exe бинарный файл. Для этого воспользуемся следующей командой:nim c -d:mingw --app:gui --opt:speed --o:file.exe reverse_shell.nim Где -d:mingw указывает на использование mingw для компиляции, --app:gui внедряет процесс, чтобы shell не терялся при закрытии командной строки, --opt:speed оптимизирует для скорости, --о:file.exe задает имя выходного файла.Далее необходимо перенести скомпилированный file.exe на машину Windows. Для этого на атакующей машине запустим простой http сервер с помощью команды:python3 -m http.server 80 Теперь на машине Windows нужно получить этот файл, для этого воспользуемся командой:wget -o file.exe В реальности такой файл предполагаемая жертва может получить путём скачивания какого-либо архива с приложением из интернета. Наш зараженный файл будет находиться среди множества других файлов чтобы его не было заметно.Следующим шагом запустим netcat listener на атакующей машине, чтобы получить reverse-shell. Воспользуемся командой:nc -nvlp 443 Осталось запустить на машине Windows наш скачанный file.exe. После запуска мы увидим успешный взлом и успешный доступ к reverse-shell.Рисунок 1 – Успешный reverse-shellспособ: Обход с помощью Nim-Reverse-Shell. Сначала воспользуемся git clone для клонирования репозитория Hoaxshell с GitHub. Затем перейдем в директорию Hoaxshell и воспользуемся pip3 install -r requirements.txt для установки необходимых Python пакетов. Теперь сделаем Hoaxshell скрипт исполняемым, для этого используем команду: chmod +x hoaxshell.py Запустим Hoaxshell скрипт и укажем локальный IP адрес, используя флаг -s ./hoaxshell.py -s 192.168.0.192 Hoaxshell выведет большую Powershell команду. Копируем эту команду целиком, вставляем в powershell на машине Windows и запускаем. В реальности такая команда может быть реализована внутри какого-либо установщика программы, предполагаемая цель может получить установщик путем скачивания его из интернета. Запустив установщик параллельно выполниться вредоносная команда, а файрвол ничего не заметит.После запуска команды в powershell, видим успешный взлом и reverse-shell на атакующей машине.Рисунок 2 – Успешный reverse-shellРезультаты исследованияИсследование включало запуск двух различных инструментов: Nim-Reverse-Shell и HoaxShell. В качестве контрольной точки рассматривалась успешность установки соединения с атакующей машиной, отсутствие предупреждений со стороны защитных механизмов межсетевого экрана и возможность выполнения удалённых команд.В результате практического тестирования были подтверждены возможности обхода встроенного Windows Firewall с использованием реверсивных оболочек.В первом случае, при использовании Nim-Reverse-Shell, был скомпилирован исполняемый файл, имитирующий реверсивную оболочку, перенесён на целевую машину с Windows и инициировано обратное подключение. Несмотря на активный брандмауэр, reverse-shell с использованием Netcat Listener был установлен без препятствий. В процессе тестирования инициированное соединение не было заблокировано системой.Во втором случае, при использовании HoaxShell, был запущен сервер на атакующей машине, сформирована обфусцированная PowerShell-команда и выполнен запуск на целевой машине. Обратное соединение было установлено мгновенно, а файрвол Windows не смог предотвратить выполнение команды и выход трафика на указанный адрес. Аналогично первому способу, соединение не вызвало тревоги у защитных механизмов системы.Результаты тестирования сведены в таблицу 1, демонстрируя ключевые параметры и эффективность обоих инструментов.Таблица 1 – Сравнение инструментовПолученные результаты подтверждают, что при использовании реверсивных оболочек возможно эффективное обходное подключение к системе даже при включённой стандартной защите Windows 11. Это указывает на наличие уязвимостей системы, через которые потенциальный злоумышленник может получить удалённый доступ без необходимости вмешательства в настройки файрвола. Тестирование показало высокую эффективность скрытого внедрения вредоносных компонентов и трудности их обнаружения существующими средствами защиты.ЗаключениеПроведённое исследование направлено на изучение эффективности механизмов защиты Windows Firewall при противодействии техникам удалённого управления, основанным на использовании реверсивных оболочек. В рамках работы были сформулированы задачи, связанные с анализом устойчивости встроенного файрвола Windows 11 к подобным атакам, а также проведено тестирование инструментов, таких как Nim-Reverse-Shell и HoaxShell.Полученные в ходе экспериментов данные демонстрируют, что современные реверсивные оболочки способны инициировать соединения, обходя ограничения на входящие подключения, предусмотренные Windows Firewall. Особенно критичным является то, что такие соединения зачастую остаются незаметными для стандартных антивирусных решений и систем обнаружения вторжений.Анализ инструментов выявил, что основное преимущество реверсивных оболочек заключается в инициировании исходящего соединения с атакуемой машины, что позволяет им беспрепятственно преодолевать политики межсетевого экрана. Это указывает на необходимость пересмотра подходов к мониторингу исходящего трафика и внедрения дополнительных механизмов поведенческого анализа.Таким образом, исследование подтверждает, что при текущих реализациях Windows Firewall остаются уязвимости, связанные с реверсивными каналами связи. Выводы работы подчёркивают значимость дальнейших научных исследований в области разработки средств раннего обнаружения подобных техник, а также актуальность повышения квалификации специалистов в области информационной безопасности в контексте динамично развивающихся методов обхода систем защиты.Список литературыWindows / [Электронный ресурс] // Википедия : [сайт]. — URL: https://ru.wikipedia.org/wiki/Windows (дата обращения: 10.04.2025). Брандмауэр Windows / [Электронный ресурс] // Википедия : [сайт]. — URL: Брандмауэр_Windows (дата обращения: 10.04.2025). Что Такое Обратный Шелл? / [Электронный ресурс] // Xygeni : [сайт]. — URL: (дата обращения: 11.04.2025). hoaxshell / [Электронный ресурс] // GitHub : [сайт]. — URL: (дата обращения: 13.04.2025). Nim Reverse Shell / [Электронный ресурс] // GitHub : [сайт]. — URL: (дата обращения: 13.04.2025). ScareCrow / [Электронный ресурс] // GitHub : [сайт]. — URL: (дата обращения: 13.04.2025). PowerShell Empire: продвинутая пост-эксплуатация Windows систем / [Электронный ресурс] // Habr : [сайт]. — URL: (дата обращения: 13.04.2025). Уймин, А. Г. Нормирование показателей при организации Киберполигона по сетевым технологиям / А. Г. Уймин // Нефть и газ - 2024 : Тезисы докладов 78-ой Международной молодежной научной конференции, Москва, 22–26 апреля 2024 года. – Москва: Российский государственный университет нефти и газа (национальный исследовательский университет) имени И.М. Губкина, 2024. – С. 1253-1254. – EDN EPVPRC.
