Veil-Evasion

提供: セキュリティ
2016年4月23日 (土) 15:25時点におけるDaemon (トーク | 投稿記録)による版 (ページの作成:「Veil-Evasion とは、一般的な ウイルス対策ソフトを回避(バイパス)するための Metasploit ペイロードを生成するためのツー...」)

(差分) ←前の版 | 最新版 (差分) | 次の版→ (差分)
移動: 案内検索
スポンサーリンク

Veil-Evasion とは、一般的な ウイルス対策ソフトを回避(バイパス)するための Metasploit ペイロードを生成するためのツールです。

読み方

Veil-Evasion
べーる いべいじょん

概要

Metasploit で作成したマルウェア/ペイロードは、ウイルス対策ソフト(AV)によって検出され、削除されてしまいます。msfvenomのエンコードオプションをつけても、削除されてしまいました。

既知のエクスプロイトやペイロードのシグネチャのデータベースがある限り、簡単にペイロードが削除されてしまいます。 これを避ける方法は、

のどちらかになります。独自のエクスプロイトを作成するのは、新米のハッカーには難しいことです。

msfvenom (昔はmsfencode)のエンコードオプションでは、AVをバイパス(回避)できないため、Veil-Evasion を利用します。

Veil-Evasion は、Metasploit のペイロードをを 再エンコードして、既知のペオロードのシグネチャを隠します。

Veil-Evasion という名前の意味ですが、ペイロードを隠す、という意味合いがあるようです。 veil と evasion の英単語の意味は、以下の通りです。

veil の意味は、

  • veil 動詞 ベールをかける、ベールでおおう、おおう、隠す
  • veil 名詞 ベール、覆って見えなくするもの、見せかけ、口実、仮面

です。 evasion の意味は、

  • evasion 名詞 回避、ごまかし

です。 Veil-Evasion は、覆って隠す、ベールで隠す、のような意味のようです。

インストール

Kali Linux / Ubuntu

Ubuntu / Kali Linux の環境では、apt コマンドでインストールできます。

sudo apt install veil-evasion
sudo veil-evasion

veil-evasion の途中で Wine Mono Installer が起動されます。 .Net アプリケーションを正しく動作させるために Mono パッケージが必要になるようです。pythonやpywin32,pycrypto,Rubyなどのインストールが続きます。

使い方

$ veil-evasion
======UNIQ9f628b1f448d5772-h-4--QINU===================================================================
 Veil-Evasion | [Version]: 2.21.4
======UNIQ9f628b1f448d5772-h-5--QINU===================================================================
 [Web]: https://www.veil-framework.com/ | [Twitter]: @VeilFramework
======UNIQ9f628b1f448d5772-h-6--QINU===================================================================
 
 Main Menu
 
	46 payloads loaded
 
 Available Commands:
 
	use         	Use a specific payload
	info        	Information on a specific payload
	list        	List available payloads
	update      	Update Veil-Evasion to the latest version
	clean       	Clean out payload folders
	checkvt     	Check payload hashes vs. VirusTotal
	exit        	Exit Veil-Evasion
 
 [menu>>]:

使えるペイロードを表示するには、 list を使います。

 [menu>>]: list
 
 [*] Available Payloads:
 
	1)	auxiliary/coldwar_wrapper
	2)	auxiliary/pyinstaller_wrapper
 
	3)	c/meterpreter/rev_http  
	4)	c/meterpreter/rev_http_service
	5)	c/meterpreter/rev_tcp   
	6)	c/meterpreter/rev_tcp_service
	7)	c/shellcode_inject/flatc
 
	8)	cs/meterpreter/rev_http 
	9)	cs/meterpreter/rev_https
	10)	cs/meterpreter/rev_tcp  
	11)	cs/shellcode_inject/base64_substitution
	12)	cs/shellcode_inject/virtual
 
	13)	go/meterpreter/rev_http 
	14)	go/meterpreter/rev_https
	15)	go/meterpreter/rev_tcp  
	16)	go/shellcode_inject/virtual
 
	17)	native/backdoor_factory 
	18)	native/hyperion         
	19)	native/pe_scrambler     
 
	20)	powershell/meterpreter/rev_http
	21)	powershell/meterpreter/rev_https
	22)	powershell/meterpreter/rev_tcp
	23)	powershell/shellcode_inject/download_virtual
	24)	powershell/shellcode_inject/psexec_virtual
	25)	powershell/shellcode_inject/virtual
 
	26)	python/meterpreter/bind_tcp
	27)	python/meterpreter/rev_http
	28)	python/meterpreter/rev_http_contained
	29)	python/meterpreter/rev_https
	30)	python/meterpreter/rev_https_contained
	31)	python/meterpreter/rev_tcp
	32)	python/shellcode_inject/aes_encrypt
	33)	python/shellcode_inject/aes_encrypt_HTTPKEY_Request
	34)	python/shellcode_inject/arc_encrypt
	35)	python/shellcode_inject/base64_substitution
	36)	python/shellcode_inject/des_encrypt
	37)	python/shellcode_inject/download_inject
	38)	python/shellcode_inject/flat
	39)	python/shellcode_inject/letter_substitution
	40)	python/shellcode_inject/pidinject
 
	41)	ruby/meterpreter/rev_http
	42)	ruby/meterpreter/rev_http_contained
	43)	ruby/meterpreter/rev_https
	44)	ruby/meterpreter/rev_https_contained
	45)	ruby/meterpreter/rev_tcp
	46)	ruby/shellcode_inject/flat

関連項目




スポンサーリンク