14.3.3. Automating the Process

Endi biz PowerShell orqali AV ni qo‘lda bypass qilishni o‘rganganimizdan so‘ng, keling, AV evasion payload larini avtomatlashtirishni ko‘rib chiqaylik.

Shellter1 – bu dynamic shellcode injection vositasi va antivirus dasturlarini bypass qila oladigan eng mashhur bepul vositalardan biridir. U zararli shellcode payload bilan haqiqiy va zararsiz executable faylga backdoor qo‘yish uchun bir qator yangi va ilg‘or texnikalardan foydalanadi.

Shellter qo‘llaydigan texnikalarning tafsilotlari ushbu modul doirasidan tashqarida bo‘lsa-da, u asosan maqsadli PE faylni va execution path larni sinchkovlik bilan tahlil qiladi. Keyin u shellcode ni AV engine lari tomonidan osonlikcha aniqlanadigan an’anaviy injection texnikalariga tayanmasdan, qayerga kiritish mumkinligini aniqlaydi. Bunga PE fayl section permission larini o‘zgartirish, yangi section lar yaratish va hokazo kiradi.

Nihoyat, Shellter payload ni xotirada ajratish, uzatish va ishga tushirish uchun ishlatiladigan funksiyalarni topish uchun mavjud PE Import Address Table (IAT)2 yozuvlaridan foydalanishga harakat qiladi.

<aside> 💡

Shellter Pro nomli pullik versiya ham mavjud bo‘lib, u 32 va 64-bit binary larni qo‘llab-quvvatlaydi va yanada yashirin anti-AV xususiyatlarini o‘z ichiga oladi.

</aside>

Bir oz nazariy bilimlarga ega bo‘lganimizdan so‘ng, keling, Shellter yordamida joriy Avira antivirus dasturini bypass qilishga harakat qilaylik. Shellter ni Kali da apt buyrug‘i yordamida o‘rnatishimiz mumkin.

kali@kali:~$ apt-cache search shellter
shellter - Dynamic shellcode injection tool and dynamic PE infector

kali@kali:~$ sudo apt install shellter
...

Listing 18 - Kali Linux da Shellter ni o‘rnatish

Shellter Windows operatsion tizimlarida ishga tushirish uchun mo‘ljallangan bo‘lgani uchun, biz wine3 ni ham o‘rnatamiz. Bu win32 ilovalarini bir nechta POSIX-compliant operatsion tizimlarda ishga tushirishga qodir bo‘lgan compatibility layer dir.

kali@kali:~$ sudo apt install wine
...

root@kali:~# dpkg --add-architecture i386 && apt-get update &&
apt-get install wine32

Listing 19 - Kali Linux da wine ni o‘rnatish

Hamma narsa o‘rnatilgandan so‘ng, mahalliy Kali terminalida shellter buyrug‘ini ishga tushirish wine ostida ishlaydigan yangi konsolni taqdim etadi.

Figura 9: Shellter ning dastlabki konsoli.

Shellter Auto yoki Manual rejimda ishlashi mumkin. Manual rejimda vosita injection uchun ishlatmoqchi bo‘lgan PE faylni ishga tushiradi va uni yanada nozik darajada manipulyatsiya qilish imkonini beradi. Bu rejimdan avtomatik tanlangan opsiyalar muvaffaqiyatsiz bo‘lsa, injection jarayonini yuqori darajada moslas Dupe bilan ishlatilishi mumkin bo‘lgan opsiyalardan foydalaning.

Ushbu misol uchun biz Shellter ni Auto rejimda ishga tushiramiz, buning uchun prompt da A ni tanlaymiz.

Keyin, maqsadli PE faylni tanlashimiz kerak. Shellter execution flow ni tahlil qiladi va payload ni kiritish va ishga tushirish uchun uni o‘zgartiradi. Ushbu misolda biz mashhur musiqa pleeri Spotify4 uchun Windows 32-bit trial executable installer ini maqsadli PE sifatida ishlatamiz. Ushbu yozuv vaqtida Spotify faqat Windows uchun 32-bit installer versiyasini taklif qiladi.

<aside> 💡