Veil-Evasion
Veil-Evasion とは、一般的な ウイルス対策ソフトを回避(バイパス)するための Metasploit ペイロードを生成するためのツールです。
読み方
- Veil-Evasion
- べーる いべいじょん
概要
Metasploit で作成したマルウェア/ペイロードは、ウイルス対策ソフト(AV)によって検出され、削除されてしまいます。msfvenomのエンコードオプションをつけても、削除されてしまいました。
既知のエクスプロイトやペイロードのシグネチャのデータベースがある限り、簡単にペイロードが削除されてしまいます。 これを避ける方法は、
のどちらかになります。独自のエクスプロイトを作成するのは、新米のハッカーには難しいことです。
msfvenom (昔はmsfencode)のエンコードオプションでは、AVをバイパス(回避)できないため、Veil-Evasion を利用します。
Veil-Evasion は、Metasploit のペイロードをを 再エンコードして、既知のペオロードのシグネチャを隠します。
Veil-Evasion という名前の意味ですが、ペイロードを隠す、という意味合いがあるようです。 veil と evasion の英単語の意味は、以下の通りです。
veil の意味は、
- veil 動詞 ベールをかける、ベールでおおう、おおう、隠す
- veil 名詞 ベール、覆って見えなくするもの、見せかけ、口実、仮面
です。 evasion の意味は、
- evasion 名詞 回避、ごまかし
です。 Veil-Evasion は、覆って隠す、ベールで隠す、のような意味のようです。
インストール
Kali Linux / Ubuntu
Ubuntu / Kali Linux の環境では、apt コマンドでインストールできます。
sudo apt install veil-evasion sudo veil-evasion
veil-evasion の途中で Wine Mono Installer が起動されます。 .Net アプリケーションを正しく動作させるために Mono パッケージが必要になるようです。pythonやpywin32,pycrypto,Rubyなどのインストールが続きます。
使い方
$ veil-evasion ======UNIQ9f628b1f448d5772-h-4--QINU=================================================================== Veil-Evasion | [Version]: 2.21.4 ======UNIQ9f628b1f448d5772-h-5--QINU=================================================================== [Web]: https://www.veil-framework.com/ | [Twitter]: @VeilFramework ======UNIQ9f628b1f448d5772-h-6--QINU=================================================================== Main Menu 46 payloads loaded Available Commands: use Use a specific payload info Information on a specific payload list List available payloads update Update Veil-Evasion to the latest version clean Clean out payload folders checkvt Check payload hashes vs. VirusTotal exit Exit Veil-Evasion [menu>>]:
使えるペイロードを表示するには、 list を使います。
[menu>>]: list [*] Available Payloads: 1) auxiliary/coldwar_wrapper 2) auxiliary/pyinstaller_wrapper 3) c/meterpreter/rev_http 4) c/meterpreter/rev_http_service 5) c/meterpreter/rev_tcp 6) c/meterpreter/rev_tcp_service 7) c/shellcode_inject/flatc 8) cs/meterpreter/rev_http 9) cs/meterpreter/rev_https 10) cs/meterpreter/rev_tcp 11) cs/shellcode_inject/base64_substitution 12) cs/shellcode_inject/virtual 13) go/meterpreter/rev_http 14) go/meterpreter/rev_https 15) go/meterpreter/rev_tcp 16) go/shellcode_inject/virtual 17) native/backdoor_factory 18) native/hyperion 19) native/pe_scrambler 20) powershell/meterpreter/rev_http 21) powershell/meterpreter/rev_https 22) powershell/meterpreter/rev_tcp 23) powershell/shellcode_inject/download_virtual 24) powershell/shellcode_inject/psexec_virtual 25) powershell/shellcode_inject/virtual 26) python/meterpreter/bind_tcp 27) python/meterpreter/rev_http 28) python/meterpreter/rev_http_contained 29) python/meterpreter/rev_https 30) python/meterpreter/rev_https_contained 31) python/meterpreter/rev_tcp 32) python/shellcode_inject/aes_encrypt 33) python/shellcode_inject/aes_encrypt_HTTPKEY_Request 34) python/shellcode_inject/arc_encrypt 35) python/shellcode_inject/base64_substitution 36) python/shellcode_inject/des_encrypt 37) python/shellcode_inject/download_inject 38) python/shellcode_inject/flat 39) python/shellcode_inject/letter_substitution 40) python/shellcode_inject/pidinject 41) ruby/meterpreter/rev_http 42) ruby/meterpreter/rev_http_contained 43) ruby/meterpreter/rev_https 44) ruby/meterpreter/rev_https_contained 45) ruby/meterpreter/rev_tcp 46) ruby/shellcode_inject/flat
関連項目
ツイート