Veil Framework Kullanarak Antivirüs Yazılımlarının Atlatılması

Sızma testleri esnasında hedef sistemler bazen antivirüs vb. yazılımlar ile korunabilmektedir. Bu durumda sistem test edilirken antivirüs yazılımlarının atlatılması gerekmektedir. Bu noktada açık kaynak kodlu olarak geliştirilen Veil-Framework devreye girmektedir.

Kali Linux içerisinde varsayılan olarak kurulu gelmeyen Veil Framework “apt-get install veil” komutu kullanılarak kolayca kurulabilir.

Veil Framework, çeşitli encoding yöntemleri kullanarak zararlı kodları şifrelemeye yarayan, açık kaynak kodlu olarak geliştirilen çok yönlü bir çatı yapısıdır. Ayrıca Veil Framework her geçen gün gelişmekte ve kendisine birçok özellik katmaktadır.
Veil Framework’ün Kali Linux üzerinde kurulumu yapıldıktan sonra konsoldan “veil-evasion” komutu ile çalıştırılabilir. Aşağıda ekran görüntüsü verilmiştir ve belirtildiği üzere 35 adet “payload” hazır bulunmaktadır.
C:UserskullaniciDesktopveil-1.png



Ana giriş ekranından sonra yüklü olan “35” adet payload’ı listelemek için “list” komutu kullanılabilir.
C:UserskullaniciDesktopveil-2.png
Ardından tıpkı MSFConsole’da olduğu gibi “use PAYLOAD ADI” komut kullanılarak, kullanılması istenen payload belirtilir. Aşağıdaki ekran görüntüsünde “python/meterpreter/rev_https” payload’ı kullanılmıştır.
C:UserskullaniciDesktopveil-3.png
Bu noktadan sonra payload ayarlarının belirtilmesi gerekmektedir. Yukarıdaki ekran görüntüsünde de anlaşılabileceği üzere söz konusu payload için toplamda dört adet ayar bulunmaktadır. Bunlardan LHOST ve LPORT payload’ın bağlantı kuracağı IP Adresi ve Port Numarasıdır. “compile_to_exe” ayarı ise, söz konusu payloadın Windows Sistemler altında çalıştırabilir “.exe” formatına çevirilip çevirilmemesi içindir. Varsayılan olarak “Y”’dir ve evet anlamına gelir. “use_pyherion” ise Pyhton Encrypter’dır ve payloadı ayrıca encode edip edilmemesi için bulununa ayardır. Varsayılan olarak “N”’dir ve hayır anlamına gelmektedir. Ayarların değerlerinin değiştirilmesi için MSFConsole’da olduğu gibi “set AYARADI DEĞER” komutu kullanılır.
Seçilen payload ayarları yapıldıktan sonra “generate” komutu ile payload hazırlanması ve encode edilmesi işlemleri başlatılabilir.
“generate” komutunun ardından Veil payload için bir dosya isimi ister, isim girilip onaylandıktan sonra “Payload hangi yöntem ile çalıştırılabilir hale getirilsin?” sorusunu sorar. Bu noktada üç adet “Pyinstaller (default), Pwnstaller (obfuscated Pyinstaller loader), Py2Exe” yükleyici bulunmaktadır ve varsayılan olarak “Pyinstaller” seçilir.



Veil-Framework belirtilen tüm ayarları aldıktan sonra payloadı oluşturmaya başlar. İşlem bitiminde aşağıdaki ekran görüntüsünde bulunan benzer çıktılar ile karşılaşılır.
C:UserskullaniciDesktopveil-6.png
Artık payload hazırlanmış ve “/root/veil-output/compiled/” yolu altında bulunmaktadır. Ayrıca Veil-Framework ile hazırlanan tüm dosyalar “/root/veil-output/” dizini altında bulunan klasörlerin içerisine kayıt edilir.
Hazırlanan payloadın test edilmesi adına virusTotal isimli çevirimiçi antivirüs tarayıcısına yüklenmiştir ve sonuçları aşağıdaki ekran görüntüsünde verilmiştir.
C:UserskullaniciDesktopScreenshot%20from%202015-01-04%2023_08_51.png
Yukarıdaki ekran görüntüsünden de anlaşılabileceği üzere 55 antivirüs yazılımında taranan zararlı kod barındıran dosyayı sadece 7 tanesi yakalayabilmiştir.



Aşağıda ise encode edilmeden analiz için gönderilen dosyanın sonuçları görülmektedir.
C:UserskullaniciDesktopScreenshot%20from%202015-01-222204%2023_19_53.png

56 anti virüs içerisinde 36 tanesi yakalamıştır.