Siempre es conveniente asegurarse el silencio luego de una intrusion, y con que me refiero al silencio? Ademas de entrar en el tema de borrado de huellas, me refiero a la accion de dejar un secuas en el servidor que se encargue de ocultar ciertos procesos, archivos, etc que dejemos en el target para esto voy a utilizar a KBeast que es un rootkit 2011, ademas de uno de mis preferidos, tiene soporte para los kernel 2.6.18 y 2.6.32,y presenta varias funcionalidades interesantes como:
-Ocultar archivos y directorios
-Ocultar procesos de (ps, pstree, top, lsof)
– Ocultar puertos locales abiertos (backdoors)
-Viene con un modulo keylogger incorporado para capturar las pulsaciones.
-Anti-kill para procesos
-Anti-remove para archivos
-Trae un backdoor bind incorporado
– Tambien se encarga de esconder ciertos modulos cargando en el kernel ademas de un anti-remove para estos.
Bastante completita la basura!, demas esta decir que requerimos de privilegios de usuario root, en este caso lo voy a realizar en un debian con un kernel 2.6.32 (entorno controlado)
Descargamos el rootkit.
1
|
|
Una vez extraido nos encontramos con varios files, tendremos que editar a nuestro antojo el archivo de configuracion config.h
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 |
|
prosigo a explicar la funcion de cada linea en el fichero de configuracion.
1- La primera linea la dejamos tal cual esta
2- la segunda se encarga de activar el modulo keylogger del rootkit en caso contrario escribimos
1
|
|
3- se encarga de darle el nombre al daemon rootkit
1
|
|
4 – En esta linea vamos a incluir los ficheros y directorios que queremos que sean protegidos por el anti-remove.
1
|
|
5- Define el directorio donde se guardara KBeast
1
|
|
6 – Aca especificamos el nombre del fichero de log donde van a ir a parar las pulsasiones capturadas por el keylogger
1
|
|
7- El puerto que estara hide a la vista de los comandos anteriormente mencionados.
1
|
|
8- Incluimos el password para el acceso con el backdoor.
1 2 |
|
Habiendo terminado de configurar el ficherito, que bastante intuitivo es, si me saltee la 9, pero esa la dejo tal cual esta.
Procedemos a lanzar el rootkit de la siguiente manera.
En los kernel 2.6.18
1
|
|
En los 2.6.32 como es mi caso
1
|
|
Vemos que se compilo exitosamente en el nucleo sin ningun error, ahora vamos a comprobar si cumple con nuestras espectativas.
-Verificando la proteccion anti-remove de ficheros
– Directorio donde se guarda el rootkit en el systema
– Pulsaciones capturadas por el modulo keylogger… El fichero de log se guarda en el directorio donde le indicamos que se guarde el rootkit.
– Port 6666 Hide
– Accediendo al sistema a travez del backdoor en el puerto 6666
– oka, para remover el rootkit del kernel solo basta realizar un:
1
|
|
Espero que lo hayan disfrutado y cada vez que rooteen un server acuerdense de kbeast :)
Saludos!