Veil Framework
Veil Framework nedir? Ne amaçla kullanılır? Nasıl kurulur? Basitçe bir malware nasıl oluşturulur? Nasıl test edilir?
Metasploit’te Msfvenom ile oluşturduğumuz zararlı yazılımları hedef bilgisayara atıp çalıştırmadan önce bilgisayardaki antivirüs programını kapatmamız gerekmektedir. Düz bir virüsü günümüz antivirüs programları anında tespit edecektir ve bilgisayarda çalıştırmamıza izin vermeyecektir. Burada “düz bir virüs” diyerek aslında virüse antivirüs programlarına yakalanmaması için ek çalışmalar yapılmamış halini demek istiyorum. Hedef bilgisayarda antivirüslere yakalanmamak istediğimiz anda devreye Veil Framework giriyor. Veil’in amacı antivirüsleri atlatmaya çalışmaktır. Zararlı yazılımları oluşturma adımları Msfvenom‘da yaptığımız işlemlere benzer diyebiliriz.
Gelelim Veil Framework’ü Kali Linux’a kurmaya…
- git clone https://github.com/Veil-Framework/Veil.git
- cd Veil/config
- ./setup.sh
- ./Veil.py (başlatmak için):
Karşımıza iki tane araç çıkıyor:
- Evasion: Antivirüsleri atlatabilen backdoor malware oluşturabilmemizi sağlayan araçtır.
- Ordnance: Msfvenom yerine daha hızlı şekilde shellcode oluşturmak için kullanılan araçtır.
“Available Commands” kısmında da görüldüğü üzere araçların seçimi “use” komutu ile yapılmaktadır. Biz şimdi “use 1” komutunu çalıştıralım:
41 tane Payload olduğunu söylüyor, bunlara bakmak için “list payloads” komutunu girebiliriz:
Payloadların incelenmesi:
1.kısım: Payload’ın yazıldığı dili belirtir.
2.kısım: Paylod’ın türünü belirtir.
3.kısım: Hedef bilgisayarla bağlantının nasıl kurulacağını belirtir.
Örneğin, Python ile yazılan, Meterpreter shell oluşturan ve bind tcp bağlantısı yapan bir Payload yapalım (25. sıradaki Payload).
İlk kısım, Payload hakkında bilgilerin olduğu kısım.
İkinci kısım ise Payload için bizden istenen bilgiler. Bu kısımda bizden RHOST istendiğini görüyoruz. Girmemiz gereken RHOST değeri hedef bilgisayarın ip adresidir. Bind Tcp bağlantısında amaç hedef sistemden bir kapı açmak olduğu için hedef sistemin ip adresi istenmektedir.
Rhost ayarı için “set” komutu kullanılır: set <hedef bilgisayarın ip adresi>
Rhost değeri ayarlandıktan sonra “generate” komutu ile Payload oluşturulur.
Vee Payloadımız oluştu. “generate” aşamasında herhangi bir isim vermediğim için default olarak “payload.py” ismi verildi.
Payloadları incelediğimizde gördüğünüz üzere bir sürü farklı programlama dilinde bir sürü kaynak kod çeşidini görüyoruz, Payload’ları “set” etme aşamasında programın sizden farklı bilgiler istediğini ya da değiştirmeniz için seçenekler sunduğunu görebilirsiniz. O aşamada ne kadar çok değeri değiştirirseniz oluşacak virüsünüzün antivirüsleri atlatma ihtimali de bir o kadar yükselecektir diyebiliriz aslında. Bu arada oluşturduğunuz virüsleri test etmek, antivirüslere yakalanma oranlarına bakmak istiyorsanız “virustotal” sitesinden yararlanabilirsiniz. Bu sayede virüsünüzün antivirüs programları tarafından tespit edilip edilmediğini öğrenebilirsiniz, size şöyle bir sonuç verecektir:
