دور زدن آنتی ویروس ویندوز با ابزار Veil- بخش اول

سلام به دوستان عزیز ITPro ای و علاقه‌مندان به مباحث امنیت شبکه. همانطور که مباحث آموزش لینوکس کالی را دنبال میکنید، در این بخش میخواهیم علیرغم آموزش های پیشین که سیستم هدفمان را Metasploitable تشکیل میداد، سیستم هدف را یک ویندوز قرار دهیم و آنتی ویروس آن را دور بزنیم. پس با ما همراه باشید:

توجه: پیشنهاد میشود قبل از شروع این بحث با مطالعه آموزش های پیشین، مفاهیم payload، metasploit، shell را مرور نمایید.

بسیاری از مردم فکر میکنند اگر بر روی سیستمشان از آنتی ویروس و یا یک فایروال استفاده کنند، توانسته اند خود را بطور صد در صد از حملات هکر ها و آسیب های احتمالی ویروس ها و تروجان ها در امان نگه دارند. اما حقیقت چیزی غیر از این را میگوید.

در این جا میخواهیم شما را با نرم افزاری آشنا کنیم که میتواند با قابلیت های خود آنتی ویروس و فایروال را دور بزند. نرم افزار "Veil" یک تولید کننده payload در ریموت شل است که میتواند بسیاری از برنامه های آنتی ویروس فعلی را دور بزند. همانطور که میدانید یک بخش مهم در تست های نفوذ، از میان بر داشتن آنتی ویروس است که برای اجرای سناریو نفوذ مزاحمت ایجاد میکند! ابزار "Veil" یکی از راه هایی است که میتوانیم با آن این کار را انجام دهیم.

نکته: payload ها بشما این امکان را میدهند تا بتوانید کاری موثر بر روی سیستم مورد نفوذ قرار گرفته انجام بدهید Metasploit . در کالی بهمراه تعداد زیادی از payload های متفاوت ارائه شده است که میتوانید از هرکدام از آن ها استفاده کنید.

بسیاری از برنامه های آنتی ویروس با الگوها یا تطابق امضاهای دیجیتالی کار میکنند. اگر یک برنامه ظاهری شبیه به برنامه های مخرب داشته باشد، آنتی ویروس طوری برنامه ریزی شده است تا بدنبال آن بگردد و آن را شکار کند. حال اگر فایل آلوده دارای امضایی باشد که آنتی یوروس تا بحال با آن برخورد نکرده باشد، در این حالت بسیاری از آنتی ویروس ها فایل را یک فایل صحیح دانسته و احتمال آلوده بودن از روی آن برداشته میشود. بنابراین اگر شما بتوانید امضای یک برنامه مخرب را تغییر دهید و یا با امضایی معتبر چهره اش را عوض کنید (در اینجا منظور از برنامه مخرب یک ریموت شل است)، اکثر آنتی ویروس ها به آن برنامه اجازه اجرا خواهند داد و هکر میتواند ارتباط ریموت با سیستم برقرار کند.

"veil" یک تولید کننده Payload است که توسط متخصصان امنیتی و هکرهای کلاه سیاه در آمریکا بوجود آمده است. این برنامه یک payload استاندارد برای Metasploit تحویل میدهد و از طریق Metasploit مانند یک برنامه بشما این امکان را میدهد تا Payload های مختلفی را بسازید که اکثر ان ها آنتی ویروس ها را دور میزنند.

نصب Veil


اخیرا برنامه veil به کالی اضافه شده است. بر خلاف اکثر برنامه های موجود در کالی اگر عبارت "veil" را در محیط ترمینال تایپ کنید، به معنی شروع برنامه نیست؛ چرا که هنوز ممکن است بطور کامل نصب نشده باشد.

1. برای نصب این برنامه باید عبارت زیر تایپ کنید:

root@kali:/usr/share# Apt-get update && apt-get install veil

2. حالا برای اجرای برنامه عبارت veil را تایپ کنید:

root@kali:/usr/share# veil

منوی اصلی بشما نشان داده میشود:

دور زدن آنتی ویروس ویندوز با ابزار Veil- بخش اول

طریقه استفاده از Veil


اولین چیزی که باید انجام دهید، لیست کردن payload های موجود با استفاده از دستور "List" است:

دور زدن آنتی ویروس ویندوز با ابزار Veil- بخش اول

نکته: تا زمانی که در آموزش های آتی درباره حملات power shell صحبت خواهیم کرد، برای انجام کار از یک power shell payload استفاده کنید.

برای استفاده باید از دستور "use" و شماره payload مورد نظر استفاده کرد. در این آموزش ما از payload زیر استفاده خواهیم نمود:

Powershell/virtualAlloc

1. دستور "use 9" را تایپ کنید.

این دستور payload مورد نظر را انتخاب کرده و ما را با صفحه زیر روبرو میکند:

دور زدن آنتی ویروس ویندوز با ابزار Veil- بخش اول

2. از آنجایی که ما در این آموزش با مقادیر پیش فرض کار میکنیم، با دستورهای نشان داده شده کاری نداریم؛ بنابراین دستور"generate" را تایپ میکنیم.

در این مرحله شما میتوانید شل کد استاندارد Metasploit یعنی msfvenom را اجرا کنید و یا انتخاب خود را داشته باشید. در اینجا ما پیش فرض یعنی msfvenom را انتخاب میکنیم:

3. شماره "1" را تایپ کرده و اینتر را میزنیم:

دور زدن آنتی ویروس ویندوز با ابزار Veil- بخش اول

در مرحله بعد باید نوع شل را انتخاب کنیم؛ در اینجا نیز از پیش فرض استفاده میکنیم که reverse_TCP است. این نوع شل به این معنی است که سیستم هدف شروع کننده یک ارتباط با ما خواهد بود.

4. فقط کافیست که اینتر را بفشارید تا مقدار payload پیش فرض شل انتخاب گردد:

دور زدن آنتی ویروس ویندوز با ابزار Veil- بخش اول

5. در اینجا برنامه Veil از شما در رابطه با آدرس IP سیستمی که از آن استفاده میکنید، میپرسد. آدرس IP سیستم کالی را وارد کرده و اینتر را بفشارید.

دور زدن آنتی ویروس ویندوز با ابزار Veil- بخش اول

6. پس از وارد کردن آدرس IP سیستم کالی نوبت وارد کردن پورت لوکالی است که از آن استفاده میکنید. ما پورت 4000 را برای کار انتخاب میکنیم:

دور زدن آنتی ویروس ویندوز با ابزار Veil- بخش اول

7. پس از این مرحله از شما در رابطه با وارد کردن آپشن های MSFVenom که میخواهید استفاده کنید، سوال میشود؛ ما از هیچ آپشن خاصی استفاده نخمیکنیم. بنابراین با فشردن کلید اینتر، این مرحله را رد میکنیم.

کار بدرستی انجام شد! برنامه Veil شل کد مورد نظر ما را با آپشن هایی که انتخاب کرده بودیم، تولید کرد.

8. حالا نیاز داریم تا بر روی فایل ایجاد شده نام بگذاریم. ما نام "CutePuppy" را انتخاب میکنیم.

دور زدن آنتی ویروس ویندوز با ابزار Veil- بخش اول

بسیار خوب؛ هرچند که نام "Cute puppy" (به معنای توله سگ ناز) کمی عجیب و غریب به نظر میرسد، اما بیاد داشته باشید هدف این است که کاربر در سیستم هدف بر این فایل کلیک کند؛ بنابراین اگر میدانید که کاربر هدف به "توله سگ" ها علاقه‌مند است، انتخاب نام "cute puppy" مناسب و زیرکانه خواهد بود. اجباری در انتخاب این نام نیست و شما میتوانید هر نامی را که فکر میکنید کاربر سیستم هدف را ترغیب به کلیک میکند، انتخاب کنید.

Veil تمام آن چیزهایی را که نیاز داشت، در اختیار دارد و فایل تله گذاری شده ما آماده شده است.

دور زدن آنتی ویروس ویندوز با ابزار Veil- بخش اول

فایل ما در مسیر "//usr//share//veil//output//source//" ذخیره شده است. در مرحله بعد باید از آن یک فایل bat. بسازیم و بسوی مقصد ارسال کنیم. هنگامی که این فایل اجرا شد، سعی خواهد کرد تا باسیستم کالی ما ارتباط برقرار کند. پس ما نیاز داریم برای قبول ارتباط از سیستم هدف یک برنامه شنود را اجرا کنیم. در قسمت بعد از این آموزش نحوه قبول ارتباط از سیستم هدف و شل گرفتن بصورت ریموت را برایتان توضیح میدهیم.

در قسمت بعد با ما همراه باشید.

سربلند و مانا باشید.

پایان

نویسنده: احسان امجدی

منبع: انجمن تخصصی فناوری اطلاعات ایران

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.

#دور_زدن_فایروال_ویندوز #گرفتن_ریموت_شل_از_ویندوز #تولید_payload_در_کالی #دور_زدن_آنتی_ویروس
عنوان
1 دور زدن آنتی ویروس ویندوز با ابزار Veil- بخش اول رایگان
2 دور زدن آنتی ویروس ویندوز با ابزار Veil- بخش دوم رایگان
زمان و قیمت کل 0″ 0
1 نظر
arash2873

سلام خسته نباشید.

ببخشید من توی veil به یک مشکل بزرگ برخورد کردم.

من از payload های pythonencryptaes استفاده میکنم و پس از انجام تنظیمات و انتخاب موارد پیش فرض فایل رو میسازم.فایل با موفقیت ساخته میشه.اونو انتقال میدم به ویندوز 10.وقتی فایل رو در ویندوز اجرا میکنم با پیغام خطای cannot open self مواجه میشم.و انگار فایل اجرا نمیشه و ارتباط با listener در metasploit برقرار نمیشه. پیلودهای ruby این مشکل رو ندارن.ولی متاسفانه آنتی ویروس اونارو میشناسه. به نظر شما اساتید مشکل چیه و چطوری رفعش کنم؟

سیستمم 64 kali rolling روی vm هست

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....