Mit Veil Virenschutz umgehen

Die Entwickler um Chris Truncer haben es sich zur Aufgabe gemacht,  Virenschutz zu umgehen.  Dies soll Penetrationstestern helfen ihre Tools und Programme einzusetzen, ohne  dass  das sie daran von auf dem Client PC  installierten Virenschutzprogramme  gehindert werden. Dies hilft die eigentlichen Sicherheitslücken auf Systemen und in Netzwerken zu erkennen und zu eliminieren.

Mit dem  Metasploit-Framework sind Penetrationstester in der Lage, Payloads zu erzeugen und Exploits zu entwickeln. In der Vergangenheit wurden aber die mit diesem Framework erzeugten Payloads von den diversen Virenschutzprogrammen nach und nach erkannt.

Mit der  Software Veil (engl. für Schleier) ist der Anwender nun in der Lage, Payloads in Form von Skripten oder ausführbaren Dateien zu erzeugen, die von Virenschutzprogrammen nicht mehr so leicht zu erkennen sind. Die Entwickler finden immer neuere Techniken, um ihr Ziel durchzusetzen.

Die Software ist in Python programmiert  und kann in Kali Linux genutzt werden. Der nachfolgende Beitrag erklärt die Einrichtung der aktuellen Version. Außerdem werden   Payloads erstellt, die dann auf einem Windows 7 PC mit installiertem Virenschutz (McAffee) getestet werden.

Veil benötigt einige Komponenten um lauffähig zu sein. Unter anderem wird Wine installiert, um ausführbare Windows Programme erzeugen zu können. Die Installation kann daher je nach Bandbreite der verfügbaren Internetverbindung etwas dauern. Letztendlich wird Veil mit dem Skript setup.sh  auf dem System konfiguriert und eingerichtet.

apt-get update && apt-get upgrade
apt-get install veil
/usr/share/veil/setup/setup.sh
									

Die Software kann nach der Installation auf der Konsole mittels veil gestartet werden. Als Beispiel wird im folgenden Video ein Payload als Powershell-Skript erstellt. Das dann auf dem Windows 7-Client ausgeführt wird. Der installierte Virenschutz ist nicht in der Lage, die übertragene Software als Schadcode zu entlarven. Der Client baut daher ungehindert eine Meterpreter-Verbindung zum „Angreifer“ auf.

Zuvor wurde auf dem System des „Angreifers“ ein sogenannter Listener gestartet, der ebenfalls von Veil generiert wurde und die eingehenden  Pakete verarbeiten kann.

Das Ergebnis ist eine Meterpreter-Session. Hier erhält der „Angreifer“ Nutzerrechte auf dem Client, die er nun mit anderen Techniken eskalieren kann.

Hier nochmals die Dateien, die mit Viel erzeugt wurden:

Metasplpoit Resource-Datei:

/root/veil-output/handlers/update01_handler.rc
									

Powershell-Skript:

/root/veil-output/source/update01.bat
									

[youtube bgCGGLtxIaM 548 365]