antivirus bypass Etiketli Yazılar

BGA Blog yazıları

Veil Framework Kullanarak Antivirüs Yazılımlarının Atlatılması
2015

Veil Framework Kullanarak Antivirüs Yazılımlarının Atlatılması

Sızma testleri esnasında hedef sistemler bazen antivirüs vb. yazılımlar ile korunabilmektedir. Bu durumda sistem test edilirken antivirüs yazılımlarının atlatılması gerekmektedir. Bu noktada açık kaynak kodlu olarak geliştirilen Veil-Framework devreye girmektedir. Kali Linux içerisinde varsayılan olarak kurulu gelmeyen Veil Framework “apt-get install veil” komutu kullanılarak kolayca kurulabilir. Veil Framework, çeşitli encoding yöntemleri kullanarak zararlı kodları şifrelemeye yarayan, açık kaynak kodlu olarak geliştirilen çok yönlü bir çatı yapısıdır. Ayrıca Veil Framework her geçen gün…
Devamı
Veil kullanarak Sızma Testlerinde Antivirüs Atlatma
2014

Veil kullanarak Sızma Testlerinde Antivirüs Atlatma

Penetrasyon testlerinde sıklıkla antivirus uygulamalarının atlatılması ihtiyacı doğmaktadır. Çeşitli encoding yöntemleri kullanılarak antivirus yazılımları atlatılabilmektedir. Msfpayload, Msfencode, Msfvenom benzeri yazılımlar ile istenilen özelliklerde zararlı yazılım üretmek mümkündür. Aşağıda bunlara alternatif ve oldukça başarılı bir uygulama olan VEIL ile bu işlemin nasıl gerçekleştirilebileceğine değinilmiştir. Windows işletim sistemleri üzerinde çalışan antiviruslere yakalanmayan batch file oluşturmak için aşağıda ki ilgili komutları çalıştırması yeterlidir. 6.6.6.150 ipsine 443 portu üzerinden reverse bağlantı kurarak erişim sağlanacaktır. Öncelikle aşağıdaki…
Devamı
falsesenseofsecurity
2013

Sızma Testlerinde Antivirüs Atlatma Yöntemleri 2

Antivirüs yazılımları zamanla ilk etapta tanıyamadığı çalıştırılabilir zararlı dosyaları zamanla tanır hale gelebiliyorlar imza yöntemi sayesinde. Bizim de daha önceki yazımızda belirttiğimiz ajan yazılımımız artık tanınmaya başlamış durumda, her ne kadar bütün antivirüs yazılımları olmasa da kurumsal firmaların antivirüs yazılımları tarafından engellenmesi durumu yaşanıyordu sızma denetimi gerçekleştirdiğimiz müşterilerimizde. Yeni birşeyler yapmak gerektiğinden ya kod değiştirilecekti ki bu kökten çözüm değil sadece günü kurtarmak olabilirdi en fazla yada mantık değiştirilecekti. Kod değiştirilmesi sadece imza…
Devamı
1-
2013

Sızma Testlerinde Antivirüs Atlatma için Alternatif Web Shell Kullanımı

Devamı
MsSQL Sunuculara TFTP Üzerinden Tanınmaz Zararlı Yazılım Yükleme
2012

MsSQL Sunuculara TFTP Üzerinden Tanınmaz Zararlı Yazılım Yükleme

Trivial File Transfer Protocol (TFTP)  FTP' nin temel fonksiyonel şekli olarak ifade edilen ve UDP protokolü ile çalışan basit bir dosya transfer yapısıdır. Özellikle Windows sistemlerde hali hazırda kurulu olarak gelen bu protokol ile basit dosya transferleri yapmak mümkündür. Sızma testlerinde karışımıza çıkan MsSQL default password zafiyeti ile uzak MsSQL sunucuya bağlantı gerçekleştirilerek hedef veri tabanı sistemi üzerinde komutlar çalıştırılabilmektedir. Bu konu üzerine daha önce hazırlamış olduğumuz  yazıya aşağıdaki linkten ulaşabilirsiniz. http://blog.bga.com.tr/2012/02/mssql-uzerinden-xpcmdshell-isletim.html…
Devamı
Antivirus Bypass Teknikleri ve Tanınmaz Meterpreter Ajanı Oluşturma
2012

Antivirus Bypass Teknikleri ve Tanınmaz Meterpreter Ajanı Oluşturma

Pentest çalışmalarında, hedef sistemi ele geçirdikden sonra yetkisiz işlevleri yerine getirecek bir payload'a ihtiyaç duyulur. Bu bir casus yazılım olabilir (trojan), uzakdan yönetim aracı olabilir (rat) veya hedef sistemde kod/komut çalıştırmanıza olanak sağlayan bir araç   (shellcode exec) olabilir.BGA pentest ekibi, pentest çalışmalarında ve eğitimlerde multi platform çalışan ve gelişmiş özellikleri olan meterpreter payloadını sıklıkla tercih etmektedir.Antivirus veya sezgisel antilogger'lar bu tür durumlarda işinizi zorlaştırabilir. Bu yazıda, antiviruslerin çalışma prensiblerine kısaca değinilmiş…
Devamı