CRYPTTECH BLOG

Anti-virüs bypass yazı dizisinin başka bir bölümü olan Maligno aracını anlatan yazı ile devam edeceğiz. Maligno, Encripto tarafından, python diliyle yazılmış ve open-source olarak geliştirilen, Metasploit framework'ün payload/shellcode üretme aracı olan msfvenom 'u kullanarak, meterpreter reverse http, https ve https proxy ile beraber pyton meterpreter reverse tcp bağlantılarını sağlayacak olan shellcode'ları üreterek AES ile şifreleyip ayrıca ürettiği python çıktısını obfuscate edip kullanıma hazır hale getirmektedir. Kurulum

Bir önceki yazıda Shellter aracının içerisindeki payloadları kullanarak, çalıştırılabilir dosya formatında ki bir dosyaya arka kapı yerleştirmiştik. Oluşturulan bu zararlı yazılımın Virustotal sitesindeki taramasından elde edilen sonuç 1/56 idi. Bu yazıda yine Shellter aracını kullanacağız fakat bu sefer gömülü gelen payloadlar yerine, Metasploit Framework'ün içerisinde bulunan Msfvenom ile üreteceğimiz ve bize meterpreter ile reverse bir TCP bağlantı veren payload kullanacağız. Msfvenom Öncelikle Msfvenom kullanarak bir payload üreteceğiz. Msfvenom, Metasploit framework'ün içerisinde bulunan Msfpayload ve Msfencode araçlarının birleşimidir. Üstünde iyileştirmeler ve optimizasyon yapılmıştır, önceki araçlara göre hızlı bir şekilde payload/shellcode üretmektedir. Artık Metasploit içerisinde msfpayload ve msfencode araçları kullanılmamaktadır . Default olarak Msfvenom gelmektedir. Basit bir şekilde, x86/shikata_ga_nai ile 10 iterasyonla encode edilmiş bir payload k...

Anti-virüs bypass yazı dizisinin başka bir bölümü olan Shellter aracını anlatan yazı ile devam edeceğiz. Shellter, ücretsiz ve multi platform çalışabilen bir anti-virus bypass aracıdır. Genel olarak var olan bir çalıştırılabilir dosyaya zararlı yazılımımızı entegre etmeye yarar. Bu şekilde ürettiğimiz (Metasploit'in msfvenom aracını kullanarak) arka kapıyı, çalıştırılabilir dosya formatı olan exe formatındaki dosyalara Shellter ile enjekte edip kurban makinesinde çalıştırabiliriz. Kurulum Anlatılacak olan işlemlerde Kali linux işletim sistemi kullanıldığı için, işlemler linux sistemlere göre anlatılacaktır. Shellter'in download sayfasını incelediğimiz vakit bir kaç alternatif olduğunu görüyoruz. Zip dosyasını indirmek (Yazım sırasındaki son versiyon v5.1) Linux dağıtımlarının depolarından kurmak (Kali için v3.1) Debian/Arch dağıtımları için hazır paket ile kurmak (Debian için v2.0) 

Merhaba, Sızma testleri sırasında test edilecek bazı makinelerde Endpoint security olarak anti-virüs yazılımları kurulu olabilir. Böyle durumlarda bağlantı kurulan/kurulacak makinede meterpreter yada başka bir Metasploit shell'i açmak için anti-virus bypass yazılımları kullanmak gerekebilir. Temel olarak bu tarz yazılımlar kullandıkları çeşitli encoding yöntemleriyle anti-virüslerden gizlenebilmektedirler. Yazımızda işleyeceğimiz araç Veil-evasion 'dur. Veil, açık kaynak kodlu olarak geliştirilen bir framework'tür. Biz Veil framework içerisindeki anti-virüs atlatma aracı olan Veil-evasion'u kullanacağız. Kurulum Linux üstüne kurulumu için mevcut kodlarının olduğu Github sayfasından ( https://github.com/Veil-Framework/Veil-Evasion ) indirip setup klasörünün altında bulunan setup.sh scripti ile kurulumu yapabilirsiniz. git clone https://github.com/Veil-Framework/Veil-Evasion.git  cd Veil-Evasion/setup  bash setup.sh -s 

1 Kasım 2015 günü gerçekleşecek erken Genel Seçimleri nedeniyle Enerji ve Tabii Kaynaklar Bakanlığı’nın kararıyla 25 Ekim 2015’te başlayacak kış saati uygulaması 2 hafta ertelendi. Resmi Gazete’de yayımlanan ilgili kararla birlikte yaz saati uygulaması 8 Kasım 2015 tarihinde sona erecek ve kış saati uygulamasına geçilecek. Bu sebeple ürünlerimizi koştuğu sunucularda zaman bilgisinin güncellenmesi için aşağıdaki adımların uygulamanması gerekmektedir. Aşağıdaki komutla tzdata paketini güncelleyebilirsiniz: sudo apt-get update && sudo apt-get install --only-upgrade tzdata Güncelledikten sonra saatin değişeceği tarihi aşağıdaki komutla görüntüleyebilirsiniz: zdump -v 'Asia/Istanbul' |grep 2015 Çıktı şöyle olmalı: CryptTech.

Log yönetim sistemleri birçok farklı ürün, platform, uygulama ve sistemle entegre çalışmak zorundadır. Bu kaynaklardan toplayacağı veriyi birçok yöntem ve protokolü destekleyecek şekilde merkezileştirmelidir. Toplanan kayıtları kendi üzerinde bir veritabanı üzerinde ya da noSQL yapıda tutabilmelidir. Veritabanı kullanılıyorsa ilişkisel metotlar yerine alternatif çözümler, indeksli, bölümlemeli yollara başvurması performans açısından avantajdır. Konumuz kayıtları saklama şekli değil, farklı veritabanlarından hangi yöntemlerle ve nasıl log toplandığıdır. Veritabanı yönetim sistemi olarak birçok ürün ve çözüm karşımıza çıkmaktadır. Geliştirdiğimiz uygulamaların arkasında bunlardan bir ya da birkaçına başvururuz.

Her sistemin kendine özgü bir log tutma şekli var. Sistemler üretilirken, o sistemin nasıl log tutacağı,  log tutarken nasıl cümleler kuracağı,  o sistemi üreten yazılımcıların keyfine bağlı olarak belirleniyor. Bir kaynak ip değerinin  kaç farklı ifadesi olabilir:  src, src_ip, srcip, sourceip, source_ip  veya karakterden tasarruf edeyim derken ne kadar anlaşılmaz olduğunu anlayamayan,  iyice işleri çığırından çıkaran yazılımcı ifadesiyle: sip! Yazılımcıdan sip kelimesinin başka ne anlama geldiğini bilmesini bekleyemeyiz. Bir standardın olması lazım. Ortak bir arayüzün olması lazım. Bu programcılara birileri dur demeli! Programlama dillerinin kütüphanelerinde hazır fonksiyonlar olur. Bu kütüphanelerde sık kullanılan değerlerin ve fonksiyonların en iyi hallerinin tanımları bulunur. Pi sayısı veya sinüs hesaplayan fonksiyon gibi. Bunun bir sebebi her programcının ayrı ayrı pi değeri tanımlamasının veya sinüs fonksiyonu yazmasın...

Merhaba, Anti-virüs bypass işleminin anlatılmasını içerecek olan bu makale, yazı dizisi şeklinde olacaktır. Her makalede farklı bir anti-virüs bypass aracı anlatılacaktır. İlk olarak, bu makalede, Metasploit'in kendi içerisinde bulunan encode modülleri kullanılacaktır. Sızma testleri sırasında veya sosyal mühendislik saldırılarında, kurban kişisinin bilgisayarında Metasploit'in ajanı olan meterpreter ile shell alınmak istenebilir. Meterpreter, üstünde çok sayıda post-exploit modülü bulunduran, sızma testleri sırasında işleri oldukça kolaylaştıran bir Metasploit ajanıdır. Başlangıç olarak Metasploit framework yardımıyla bir arka kapı oluşturacağız. Oluşturulan arka kapı windows makineler için üretilmiştir ve reverse bağlantı ile 5566 portu üzerinden bizimle bağlantı kuracaktır.