Многим пентестерам знакома проблема, когда при проведении аудита безопасности пейлоады перехватываются антивирусными программами. И хотя практически всегда можно обойти антивирусную защиту клиента, на создание и развертку нужных для этого решений уходит слишком много времени. При этом авторам вредоносных программ не составляет большого труда обойти защитные механизмы. Нам хотелось иметь такую же возможность при проведении своих пентестов, чтобы можно было продемонстрировать нашим клиентам более реалистичные сценарии проникновения. Так и зародился проект Veil-Evasion.

Предпосылки

Старая истина «Время — деньги» применима и к области пентестирования, поэтому часы, потраченные на попытки обойти антивирусную защиту вручную, никак нельзя назвать проведенными с пользой. Из-за того, что антивирусы все чаще перехватывали наши пейлоады при аудите, мы теряли все больше времени. А ведь куда полезнее было бы вместо того, чтобы бороться с антивирусными решениями, непосредственно проверять уязвимости.

WARNING

Вся информация предоставлена исключительно в ознакомительных целях. Ни редакция, ни автор не несут ответственности за любой возможный вред, причиненный материалами данной статьи.

Однако же, несмотря на обилие доступной информации, мы не нашли ни одного решения с открытым исходным кодом, которое бы позволяло генерировать пейлоады, способные обходить антивирусы. Поэтому мы решили, что нам по силам восполнить этот пробел.

Обзор фреймворка

Решение нашей проблемы с антивирусами началось со скромной версии Veil 1.0, состоявшей из одного-единственного Python-файла, который генерировал различные пейлоады и упаковывал их в исполняемые файлы с помощью py2exe. Участие Кристофера Трансера, одного из разработчиков Veil-Evasion, в security-подкасте Pauldotcom вызвало огромный ажиотаж вокруг нашего проекта, и вскоре члены сообщества пентестеров начали использовать Veil-Evasion и делиться с нами ценными замечаниями. Затем к команде разработчиков присоединились Майкл Райт и The_Grayhound и полностью переработали код проекта, чтобы сделать из него модульный расширяемый фреймворк без привязки к конкретным языкам и технологиям.

• меню и интерфейс Veil были спроектированы с учетом принципов юзабилити, чтобы корректно обрабатывать как можно больше ошибочных сценариев;
• дерево пейлоадов Metasploit для Windows обходится с извлечением всех пейлоадов и их обязательных параметров. Это значит, что все генерируемые MsfVenom нагрузки с шелл-кодом Windows могут быть интегрированы в Veil. Для пейлоадов в меню выбора шелл-кода работает автодополнение по Tab в MsfVenom-формате windows/PAYLOAD;
• автодополнение по Tab было добавлено и в другие части фреймворка, включая большинство меню; также добавлена автоподстановка локального IP-адреса в LHOST и подстановка 4444 в LPORT;
• почти для всех опций были реализованы ключи командной строки, которые можно просмотреть с помощью команды ./Veil.py -h.

Что касается структуры Veil, то она стала выглядеть следующим образом:

• пейлоад-модули, помещаемые в ./modules/payloads/[language], автоматически загружаются в фреймворк;
• функции общего назначения хранятся в ./modules/common/*;
• исходники и скомпилированные файлы сохраняются в ./output/source/ и./output/compiled/ соответственно;
• используемые пейлоадами внешние инструменты хранятся в ./tools/;
• папка ./doc/* содержит документацию для фреймворка, сгенерированную утилитой pydoc.

Использование

Чтобы запустить Veil, необходимо воспользоваться командой $ ./Veil.py. При первоначальном запуске Veil выполнит код из ./config/update.py, который попытается определить установочные директории фреймворка, получить подробные сведения об ОС и другие важные параметры, а затем сохранить их в конфигурационный файл./config/veil.py, который также можно в случае необходимости отредактировать и вручную.

После этого попадаем в основное меню. В нем отображается количество загруженных модулей и список полезных команд. Достаточно набрать list, чтобы вывести список всех пейлоадов, list langs— чтобы вывести список доступных языков пейлоадов, либо list [язык], чтобы вывести список всех пейлоадов для конкретного языка. Также можно набратьlist и нажать Tab для автодополнения из списка доступных языков.

Другие статьи в выпуске:

Хакер #178. Mesh-сети или строим свой интернет

• Содержание выпуска
• Подписка на «Хакер»-60%

Чтобы получить информацию по определенному пейлоаду, надо выполнить info [номер либо имя пейлоада]. После загрузки выбранного модуля попадаем в меню пейлоада.

В нем представлены детальные сведения и обязательные опции для выбранной полезной нагрузки, а также доступные команды. В подразделе required options (обязательные опции) для каждой опции отображается ее имя, описание и значение по умолчанию — если оно отсутствует, то для генерации пейлоада придется самостоятельно ввести значение опции. Для этого достаточно набрать set [имя опции] и указать нужное значение.

После ввода обязательных опций для генерации пейлоада необходимо выполнить командуgenerate. Если в пейлоаде используется шелл-код, то попадаем в меню шелл-кода, где можно выбрать MsfVenom или произвольный шелл-код. При выборе произвольного шелл-кода его необходимо будет ввести в виде \x01\x02... без кавычек и переводов строки (\n). Если выбран MsfVenom, то по умолчанию будет предложен windows/meterpreter/reverse_tcp. Если нужен другой шелл-код, то надо будет ввести имя любого Windows шелл-кода, используя синтаксис MsfVenom (windows/...), либо выбрать его из списка с помощью Tab. После выбора шелл-кода будет предложено указать обязательные опции (пользуясь автозаполнением по Tab, можно подставить в опцию LHOST локальный IP, а в LPORT — 4444, номер порта, используемый по умолчанию в MSF). После ввода обязательных опций можно ввести значения дополнительных опций MsfVenom в формате OPTION=value.

По нажатию Enter будет сгенерирован шелл-код и собран пейлоад. После этого попадаем в меню вывода, где можно выбрать базовое имя для генерируемых файлов. Если пейлоад использует Python и была установлена опция compiletoexe, пользователю предоставляется выбор между pyinstaller (компиляцией в EXE-файл на Kali Linux) и генерацией исполняемых файлов с помощью py2exe. Последний экран отображает информацию о сгенерированном пейлоаде, включающую местоположение файлов с исходным и скомпилированным кодом. Нажатие любой клавиши вернет главное меню.

Разработка пейлоадов

В проекте Veil-Evasion большое внимание уделяется разработке расширяемого фреймворка, в который пользователи могут быстро и с легкостью интегрировать свои собственные методы уклонения от антивирусов, пользуясь при этом всеми возможностями фреймворка для ускорения разработки. Для того чтобы создать свой пейлоад, можно воспользоваться готовым шаблоном — ./modules/payloads/template.py:

Чтобы было понятней, что собой представляет пейлоад и как его создавать, кратко рассмотрим основные моменты. В начале каждого модуля находится строка-комментарий, в которой описывается механизм работы модуля, содержатся ссылки на используемые модули и имя автора. Далее следуют команды импортирования общих модулей Veil, содержащихся в./modules/common/*, в виде from modules.common import MODULE. Ниже перечислены некоторые базовые модули и методы, которые могут пригодиться при разработке собственных пейлоадов:

• common.randomizer — различные методы рандомизации строк/переменных;
• common.encryption — методы шифрования (AES-шифрование, подстановочные шифры и так далее);
• common.crypters — средства для шифрования и обфускации отдельных языков (пока что доступен только Pyherion);
• common.shellcode — наиболее часто используемый модуль, предназначенный для генерации шелл-кода;
• config.veil — значения настроек; получаются в виде veil.CONFIG_SETTING. Импортируется командой from config import veil.

В методе __init__() обязательно нужно инициализировать следующие опции:

• self.shortname — сокращенное имя, используемое для обращения к пейлоаду;
• self.description — более подробное описание пейлоада, максимальная длина равна 12 предложениям;
• self.language — язык, на котором написан пейлоад (на данный момент можно выбрать из python/cs/powershell/c#/native);
• self.rating — оценка того, насколько хорошо метод обходит антивирусы (на данный момент устанавливается самим автором);
• self.extension — расширение, с которым сохраняется файл пейлоада.

При необходимости можно использовать и другие опции:

• self.shellcode = shellcode.Shellcode() — инициализируется, если требуется генерировать шелл-код;
• self.notes — дополнительные примечания (например, инструкции по ручной компиляции), которые показываются пользователю при генерации;
• self.required_options — опции пейлоада, для которых обязательно указывать значение. Записываются в формате {имя_опции : ["значение_по_умолчанию", "описание"]}. Если значение по умолчанию не указано, Veil автоматически запросит у пользователя значение опции перед генерацией пейлоада.

Метод generate() — это то место, где и творится все «волшебство». Шелл-код может быть создан внутренними методами Veil путем обращения к внутреннему объекту shellcode через вызов self.shellcode.generate(). При этом генерируется шелл-код по указанной пользователем спецификации. В строках 36 и 37 (см. рис. 3) демонстрируется использование криптора для шифрования исходного кода. В результате возвращается исходный код, который может быть использован в Veil.

Создав свой собственный модуль для генерации пейлоадов, можно сохранить его в любом месте внутри папки ./modules/payloads/. Любой модуль, помещенный в эту папку (или одну из ее дочерних), автоматически подгружается и становится доступен в основном интерфейсе Veil, а отдельные папки для каждого языка внутри данной директории существуют просто ради удобства.

unsigned char buffer[]= “\x…”;
int main(void) { ((void (*)())buffer)();}

Интеграция внешних инструментов

Команда Veil стремится к тому, чтобы максимально облегчить интеграцию любого метода обхода антивирусов в фреймворк. Еще на ранних стадиях разработки нас просили сделать возможной интеграцию внешних инструментов генерации. Благодаря модульной структуре пейлоадных модулей, мы с легкостью удовлетворили эту просьбу, что позволило реализовать поддержку инструментов от сторонних авторов (например, PESscrambler и Hyperion). Посмотреть, как это делается, можно в листинге ./modules/payloads/native/Hyperion.py.

Мы лишь отметим основные моменты:

• в методе __init__() свойству self.extension нужно присвоить значение exe (строка 26);
• следует инициализировать обязательную опцию original_exe (строка 29) примерно таким образом:

  self.required_options = {"original_exe" : ["", "имя exe-файла, пропускаемого через Hyperion"]}
  

• внешние инструменты нужно поместить в ./tools/, а код для их вызова должен быть примерно таким, как в строке 43 (…cwd=veil.VEIL_PATH+"tools/hyperion/"…);
• сгенерированный бинарный код будет содержаться в возвращаемом значении PayloadCode.

Крипторы

На данный момент единственный доступный в Veil криптор предназначен для пейлоадов на Python. Он появился, когда мы задались вопросом, как далеко мы сможем зайти с обфускацией кода на Python. Существуют AES, DES и другие прекрасные стандарты шифрования, но дешифрующие их куски кода остаются почти одинаковыми во всех генерируемых файлах. Как мы можем максимально рандомизировать файл пейлоада?

Воспользовавшись идеями превосходного криптора Hyperion PEcrypter, сделанного ребятами из nullsecurity, мы решили зашифровать код пейлоада целиком, используя AES-шифрование со случайным ключом. Поскольку это Python, а не, допустим, Си, нам пригодился AES-режим утилиты pycrypto, позволяющий шифровать код целиком. Вызвав Python-функцию exec(), мы можем выполнить сразу весь файл, предварительно динамически дешифровав его.

Однако и после первоначальной AES-обфускации в получившемся коде даже при беглом просмотре обнаруживается немало повторяющихся фрагментов. Мы решили эту проблему, преобразовав код к Base64 и завернув результат в еще один вызов exec(), чтобы как можно больше затруднить его чтение. Результат представляет собой единственную инструкцию exec(), вызывающую переименованный метод base64.b64decode().

Этот код прекрасно работает в обычном Python-файле, но при попытке запаковать его в EXE-файл с помощью pyinstaller или py2exe возникают проблемы. Поскольку мы динамически дешифруем целый файл во время выполнения, pyinstaller не может догадаться заранее, какие библиотеки (например, AES-библиотека pycrypto) нужны для файла. Наше решение заключается в том, чтобы удалить все директивы импорта из шифруемого файла, перемешать их и поместить в начало уже зашифрованного файла.

У нас получается набор рандомизированных import-директив, за которыми следует одна-единственная команда exec(), выполняющая преобразованную в Base64 и шифрованную AES-алгоритмом (со случайным ключом) текстовую строку, в которой содержится наш первоначальный код пейлоада. Таким образом, всякий раз при генерации мы получаем новый код, даже для одного и того же исходника (из кода, представленного на рис. 5, мы получаем представленный на рис. 6).

Код криптора содержится в ./modules/common/crypters.py и может использоваться всеми Python-пейлоадами Veil. Чтобы включить его, надо перед генерацией пейлоада установить в меню для опции use_pyherion значение Y. Независимая от фреймворка версия криптора находится в ./tools/pyherion.py. Она принимает на вход любой (ну, почти) файл на Python и выдает его зашифрованную версию. Мы надеемся и дальше изобретать новые «крипторы» по мере появления в Veil поддержки новых языков.

WWW

Адрес репозитория Veil:

Заключение

Постоянные проблемы с антивирусами привели нас к созданию полноценного и постоянно расширяющегося фреймворка Veil, который уже сейчас поддерживает семь языков программирования и в который мы планируем включать все новые и новые технологии по мере их появления на свет.

С точки зрения этики мы склонны рассматривать появление фреймворка Veil и сопутствующих технологий в позитивном свете, и на то есть несколько причин. Во-первых, сообщество пентестеров как минимум на пять лет отстает от профессиональных создателей вредоносного ПО в вопросах шифрования и обфускации; нам еще очень далеко до эксплуатации 0-day-уязвимостей в антивирусах. Во-вторых, мы работаем на благо общества. Если уж мы, поначалу обладавшие только поверхностным знанием Python и фреймворка Metasploit, смогли собрать и выпустить первую версию Veil примерно за шесть месяцев, то можно быть уверенным, что и другие за это же время могли разработать свои методы (и наверняка это сделали) для достижения тех же целей. Сокрытие этих методов не поможет защитить общество от серьезных киберпреступников, которые по изощренности методов уже обогнали Veil на световые годы; все, чего мы этим достигнем, — оставим всех остальных в неведении относительно методов, с помощью которых можно обойти инструменты, используемые нами для защиты информации.

Производителям антивирусов следует поторопиться с переходом на более полные поведенческие эвристики обнаружения. Мы надеемся, что наша деятельность по популяризации описанных методов заставит их сделать это поскорее.