Nuevas Entradas

[KBEAST] Plantando Un Rootkit

Posted by Security Signal on 11:25 in | Comments : 0


Siempre es conveniente asegurarse el silencio luego de una intrusión, y con que me refiero al silencio? Ademas de entrar en el tema de borrado de huellas, me refiero a la accion de dejar un secuas en el servidor que se encargue de ocultar ciertos procesos, archivos, etc que dejemos en el target para esto voy a utilizar a KBeast que es un rootkit 2011, ademas de uno de mis preferidos, tiene soporte para los kernel 2.6.18 y 2.6.32,y presenta varias funcionalidades interesantes como:

  • Ocultar archivos y directorios 
  • Ocultar procesos de (ps, pstree, top, lsof) 
  • Ocultar puertos locales abiertos (backdoors) 
  • Viene con un modulo keylogger incorporado para capturar las pulsaciones. 
  • Anti-kill para procesos 
  • Anti-remove para archivos 
  • Trae un backdoor bind incorporado 
  • Tambien se encarga de esconder ciertos modulos cargando en el kernel ademas de un anti-remove para estos. 
Bastante completita la basura!, demas esta decir que requerimos de privilegios de usuario root, en este caso lo voy a realizar en un debian con un kernel 2.6.32 (entorno controlado) Descargamos el rootkit.



Una vez extraido nos encontramos con varios files, tendremos que editar a nuestro antojo el archivo de configuracion config.h

Prosigo a explicar la funcion de cada linea en el fichero de configuracion.

1- La primera linea la dejamos tal cual esta
2- La segunda se encarga de activar el modulo keylogger del rootkit en caso contrario escribimos
3- Se encarga de darle el nombre al daemon rootkit
4 – En esta linea vamos a incluir los ficheros y directorios que queremos que sean protegidos por el anti-remove.
5- Define el directorio donde se guardara KBeast
6 – Aca especificamos el nombre del fichero de log donde van a ir a parar las pulsasiones capturadas por el keylogger
7- El puerto que estara hide a la vista de los comandos anteriormente mencionados.
8- Incluimos el password para el acceso con el backdoor.
Habiendo terminado de configurar el ficherito, que bastante intuitivo es, si me saltee la 9, pero esa la dejo tal cual esta. Procedemos a lanzar el rootkit de la siguiente manera. En los kernel 2.6.18
En los 2.6.32 como es mi caso



Vemos que se compilo exitosamente en el nucleo sin ningun error, ahora vamos a comprobar si cumple con nuestras espectativas.

  • Verificando la proteccion anti-remove de ficheros 


  • Directorio donde se guarda el rootkit en el systema 


  • Pulsaciones capturadas por el modulo keylogger… El fichero de log se guarda en el directorio donde le indicamos que se guarde el rootkit. 


  • Port 6666 Hide 


  • Accediendo al sistema a travez del backdoor en el puerto 6666 


  • oka, para remover el rootkit del kernel solo basta realizar un: 
 

Espero que lo hayan disfrutado y cada vez que rooteen un server acuerdense de kbeast :) Saludos!

Share this:

 
Copyright © 2014 Security Signal.
Designed by OddThemes | Distributed By Gooyaabi Templates