HERRAMIENTA: VEIL-EVASION
Hola otra vez. En esta entrada veremos como bypassear los antivirus utilizando esta magnífica herramienta.
Como ya sabemos, el uso de la ingeniería social es una de las formas mas sencillas de lograr que una persona ejecute un programa malicioso. Pero el trabajo no termina ahí, es necesario que "disfracemos" de la mejor manera posible nuestro programa para que no salten las alarmas de los antivirus, sino toda nuestra tarea previa no serviría de nada. En esta tarea nos asistirá, Veil Evasion.
VEIL-EVASION forma parte de VEIL-FRAMEWORK y nos permite generar ejecutables cargados con payloads. Pero esa no es su principal virtud, su fuerza reside en que el ejecutable generado será practicamente indetectable por la mayoría de los antivirus.
Instalación de Veil en Kali
Para instalar Veil utilizamos el comando:
apt-get install veil
Una vez instalado buscamos la carpeta que contiene el archivo setup.sh:
cd /usr/share/veil-evasion/setup/
Lo ejecutamos haciendo:
./setup.sh
Al ejecutar este comando veremos que nos pedirá instalar el interprete de Python junto con Pywin y Pycrypto (ya se deben estar imaginando porque todo esto). Esto es, porque Veil utiliza cifrados para los archivos, haciendo que los antivirus lo vean como una aplicación "normal" dado que no lo reconoce entre sus firmas.
Ejecutando Veil
Para ejecutar Veil utilizamos el comando:
veil-evasion
Tenemos para elegir entre varios payloads. Con el comando list podemos verlos
Seleccionamos un payload con el comando use seguido del número de payload correspondiente.
En este caso utilizaré python/shellcode_inject/aes_encrypt
Luego debemos elegir como queremos que se genere nuestro payload. Debemos settear con Yes todo lo que deseemos incorporarle. En mi caso seleccionaré que además utilice pyherion encrypter (podemos ver de que se trata aquí). Luego usamos generate.
Nos dá a elegir siqueremos utilizar msfvenom o si queremos pasarle una shellcode, en este caso utilizaré msfvenom.
Configuramos nuestro payload.
Luego elegimos un nombre para el archivo (siempre la termina ligando el tetris) y el método con el que crear el ejecutable:
Y listo! Ya tenemos nuestro ejecutable en /root/veil-output/compiled/ (en la imagen aparece tetris1.exe dado que ya tenía otro ejecutable con el mismo nombre) preparado para enviar a la víctima.
Así como lo recomienda Veil, yo también recomiendo que no suban el ejecutable a ninguna página que compruebe si tiene malware dado que estos sitios guardan los archivos y los analizan reportándolos a las compañías de antivirus.
Eso es todo por ahora, diviértanse con Veil un rato! En la próxima entrada estaremos enviando nuestro ejecutable a la vícitma y ganando (espero) alguna que otra shell jeje.
Pueden ver el tutorial completo con imágenes en:
http://mamaquieroserpentester.blogspot.com.ar/2015/03/pasa-tranquilo-evadiendo-los-antivirus.htmlSaludos!