19 Kasım 2012 Pazartesi

Antivirüs Atlatmak İçin Temel Yöntemler

Antivirüs Atlatmak İçin Temel Yöntemler


Kali pth-winexe aracı & Veil: Antivirüslere Yakalanmayan Uygulama ile Meterpreter Kabuğu Elde Etme
http://ertugrulbasaranoglu.blogspot.com.tr/2014/11/kali-pth-winexe-arac-veil-antiviruslere.html

WCE & Sysinternals Psexec & Veil: Antivirüslere Yakalanmayan Uygulama ile Meterpreter Kabuğu Elde Etme
http://ertugrulbasaranoglu.blogspot.com.tr/2014/11/wce-sysinternals-psexec-veil.html

MSF psexec_command Modülü & Veil: Antivirüslere Yakalanmayan Uygulama ile Meterpreter Kabuğu Elde Etme
http://ertugrulbasaranoglu.blogspot.com.tr/2014/10/msf-psexeccommand-modulu-veil.html

Veil Kullanarak Sızma Testlerinde Antivirüs Atlatma
http://ertugrulbasaranoglu.blogspot.com.tr/2014/04/av-bypass-veil-frameworkveil-evasion.html

İpucu: PsExec Yerine WCE ile Bilgisayara Sızma
http://ertugrulbasaranoglu.blogspot.com.tr/2013/09/ipucu-psexec-yerine-wce-ile-bilgisayara.html

İpucu: Procdump ve Mimikatz ile LSASS İçerisinden Oturum Açan Kullanıcıların Parolalarını Elde Etme
http://ertugrulbasaranoglu.blogspot.com/2013/06/procdump-ve-mimikatz-ile-lsass.html

AV Bypass: Paketleyiciler
http://ertugrulbasaranoglu.blogspot.com.tr/2014/03/av-bypass-paketleyiciler.html
http://ertugrulbasaranoglu.blogspot.com.tr/2014/03/av-bypass-paketleyiciler-2.html

AV Bypass: Shellcode
http://ertugrulbasaranoglu.blogspot.com.tr/2014/03/av-bypass-shellcode.html

AV Bypass: MSF Üzerinde Payload Üretilmesi
http://ertugrulbasaranoglu.blogspot.com.tr/2014/10/av-bypass-msf-uzerinde-payload.html

AV Bypass: MsfPayload & MsfEncode
http://ertugrulbasaranoglu.blogspot.com.tr/2014/02/av-bypass-msfpayload-msfencode.html



Bypassing antivirus with a sharp syringe
http://www.exploit-db.com/wp-content/themes/exploit/docs/20420.pdf
http://carnal0wnage.attackresearch.com/2011/07/process-injection-outside-of-metasploit.html

Bypassing Anti-virus using Code Injection Technique
http://securityxploded.com/bypassing-antivirus-using-code-injection.php

Bypass Antivirus with Meterpreter as the Payload & Hyperion Fun (Stabil değil)
https://www.christophertruncer.com/bypass-antivirus-with-meterpreter-as-the-payload-hyperion-fun/

SET: Bypass Antivirus and Hack Window Systems
http://jameslovecomputers.wordpress.com/2012/09/07/backtrack-5-powershell-alphanumeric-shellcode-injector-set-tutorial/

Java Applet Attack Method
http://pentestlab.wordpress.com/2012/03/03/java-applet-attack-method/

SecurityTube: Killing AV AND Disabling Firewall
http://www.securitytube.net/video/2666

Evading Anti-virus Detection with Metasploit
http://www.rapid7.com/resources/videos/evading-anti-virus-detection-with-metasploit.jsp

Sızma Testlerinde Antivirüs Atlatma için Alternatif Web Shell Kullanımı
http://blog.bga.com.tr/2013/01/szma-testlerinde-antivirus-atlatma-icin.html

Disabling AntiVirus when Pen Testing
http://blog.packetheader.net/2011/12/disabling-antivirus-when-pen-testing_05.html

The Ultimate Meterpreter Executable & Bypass Avs Using Inmet
http://www.securitytube.net/video/6770

Effectiveness of Antivirus in Detecting Metasploit Payloads
http://www.sans.org/reading_room/whitepapers/casestudies/effectiveness-antivirus-detecting-metasploit-payloads_2134

AV0id – Anti-Virus Bypass Metasploit Payload Generator Script
http://www.commonexploits.com/av0id-anti-virus-bypass-metasploit-payload-generator-script/

Egress Buster Reverse Shell and Bypassing AV
https://www.trustedsec.com/july-2012/egress-buster-reverse-bypassav/

Antivirüsleri Atlatma Yöntemleri - 1
https://www.bilgiguvenligi.gov.tr/yazilim-guvenligi/antivirusleri-atlatma-yontemleri-1.html


8 Kasım 2012 Perşembe

İpucu: Winlogon Durumları

Winlogon Durumları

Herhangi bir zamanda Winlogon aşağıdaki üç durumda bulunabilir. Bu durumlar aşağıdaki gibidir:

  • Oturum kapalı durumu
  • Oturum açık durumu
  • İş istasyonu kilitleme durumu

Bu üç durum arasındaki ilişki aşağıdaki şekilde belirtilmiştir:

Winlogon durumları arasındaki ilişki
Oturum kapalı durumu
"Oturum kapalı" durumda kullanıcının aktif kabuk ile etkileşimi bulunmaz. Winlogon bu durumda, kullanıcıdan oturumunu açmasını bekler. Eğer oturum açılmak istenirse, Winlogon, kullanıcıdan kimlik bilgilerini girmesini bekler. Kullanıcının girdiği kimlik bilgileri doğruysa yerel ve grup ilkelerine bakılarak kullanıcıya özel herhangi bir yasaklama olup olmadığının kontrolü gerçekleştirilir. Kullanıcı bir yasaklama ile karşılaşmıyorsa oturum açma işlemi başarılı olur.  Oturum ilk açıldığında kabuk program çalışır ve Winlogon kendi durumunu "Oturum açık" olarak değiştirir. Windows ortamında varsayılan kabuk programı Explorer.exe'dir. Kabuk program ihtiyaca göre, kayıt defterinden (HKLM/SOFTWARE/Microsoft/Windows NT/Current Version/Winlogon yolu altındaki "Shell" anahtarı değiştirilerek) özelleştirilebilir.

Oturum açık durumu
"Oturum açık" durumunda kullanıcı aktif kabuk ile etkileşim içerisindedir. Winlogon bu durumda, kullanıcıdan oturumunu kapatmasını veya iş istasyonunu kilitlemesini bekler. Eğer oturum kapatılmak istenirse, Winlogon bu oturuma ait tüm prosesleri sonlandırarak iş istasyonunu kullanıcılar için hazır hale getirir ve kendi durumunu da "Oturum kapalı" olarak değiştirir. Eğer iş istasyonu kilitlenmek istenirse, Winlogon bu oturuma ait prosesleri devam ettirir ve kendi durumunu da "İş istasyonu kilitleme" olarak değiştirir.

İş istasyonu kilitleme durumu
Winlogon "İş istasyonu kilitleme" durumunda iken, kullanıcı güvenli masaüstü ile etkileşim halindedir. Winlogon bu durumda, kullanıcıdan oturumunu açmasını veya oturumunu kapatmasını bekler. Eğer oturum devam ettirilmek istenirse, Winlogon, kullanıcıdan kimlik bilgilerini girmesini bekler. Kullanıcının girdiği kimlik bilgileri doğruysa yerel ve grup ilkelerine bakılarak kullanıcıya özel herhangi bir yasaklama olup olmadığının kontrolü gerçekleştirilir. Kullanıcı bir yasaklama ile karşılaşmıyorsa oturum açma işlemi başarılı olur.  Oturum açıldığında mevcut kabuk program devam ettirilir ve Winlogon kendi durumunu "Oturum açık" olarak değiştirir. Eğer oturum kapatılmak istenirse, Winlogon açık oturuma ait tüm prosesleri sonlandırarak iş istasyonunu kullanıcılar için hazır hale getirir ve kendi durumunu da "Oturum kapalı" olarak değiştirir.


Kaynak site:
https://www.bilgiguvenligi.gov.tr/microsoft-guvenligi/windows-isletim-sisteminde-oturum-acma-islemi-winlogon.html