Phantom Evasion ist ein in Python geschriebenes interaktives Werkzeug, mit dem Virenschutzprogramme umgangen werden können. Mit Hilfe von verschiedenen Techniken und des Programms msfvenom des Metasploit Frameworks, lassen sich so verschiedene Payloads erzeugen. Somit wird Penetrationstestern ein Werkzeug an die Hand gegeben, mit dem sie polymorphen Code erstelle bzw. Sandbox-Umgebungen „austricksen“ können. Ab der Version 1.1 enthält das Programm einen „Post-Exploitation“ Anteil. Hiermit lässt sich z.B. auf einem Zielsystem dauerhaft Schadcode platzieren.
In diesem Blogeintrag werde ich die Installation von Phantom Evasion auf Kali Linux erläutern.
Abhängigkeiten installieren
Der Autor hat das Tool so programmiert, dass es hervorragend mit der Kali Linux zusammenarbeitet und dort beim ersten Programmstart automatisch eingerichtet wird. Folgende Programme und Bibliotheken sollten installiert sein:
• Metasploit-Framework
• mingw-64
• gcc
• apktool
• strip
• wine
• zipalign
• ibc6-dev-i386
Da nicht alle o.g. Bestandteile auf der aktuellen Version von Kali Linux installiert sind, müssen Sie zunächst ein wenig Hand anlegen, um die fehlenden Abhängigkeiten zu installieren und vor allem Wine und Python in der Version 2.7 auf Ihrem System einzurichten. Dabei müssen Sie beachten, dass die Version 3 von Python derzeit nicht unterstützt wird. Um es einfach zu halten, habe ich die dazu notwendigen Befehle nachfolgend aufgelistet:
sudo su
apt-get install libc6-dev-i386 zipalign
dpkg --add-architecture i386 && apt-get install wine32
winecfg
wget https://www.python.org/ftp/python/2.7.15/python-2.7.15.msi
wine msiexec /i python-2.7.15.msi
wget https://bootstrap.pypa.io/get-pip.py
wine /root/.wine/drive_c/Python27/python.exe get-pip.py
Tool aus Github laden und starten
Das Werkzeug kann aus Github geladen werden. Auf der dazugehörigen Webseite finden Sie aktuelle Informationen und eine kurze Beschreibung der derzeit verfügbaren Module für Windows, Linux und macOS.
Laden Sie Phantom Evasion mit folgenden Befehle auf Ihr System und stellen sicher, dass das Python-Skript ausführbar ist:
git clone https://github.com/oddcod3/Phantom-Evasion.git
cd Phantom-Evasion
chmod +x phantom-evasion.py
Beim ersten Programmaufruf wird geprüft, ob alle Komponenten vorhanden sind. Im Idealfall sollten hier alles „im grünen Bereich“ sein.
Um den Entwickler dieses Tools zu unterstützen, werden Sie nun gefragt, ob Sie einen Miner neben der Hauptfunktion des Programms installieren möchten. Der Miner ist so konfiguriert, dass er während der Phantom-Evasion-Ausführung nur wenig Systemressourcen verbraucht und jederzeit deaktiviert werden kann. Der Miner lässt sich auch nachträglich mit folgenden Befehl ausschalten:
Tmux attach
CTRL-C
Sie können Ihn auch ausschalten, indem Sie die Datei “Config.txt” im Setup-Ordner folgenden Eintrag vornehmen:
Mining = False
Ist alles richtig konfiguriert, so sollte jetzt das Hauptmenü von Phantom Evasion erscheinen.