Сетевое взаимодействие устанавливается через сеть tor.
Термин “руткит” состоит из двух слов: “root” (который в данном контексте означает привилегированную учетную запись в ОС Linux и Unix) и “kit” (программные компоненты, реализующие инструмент).
Не являясь по своей сути вредоносными, руткиты обычно идут в комплекте с различными видами вредоносного ПО и предоставляют хакеру доступ к вашему компьютеру с административными правами.
rkhunter проверка на наличие руткитов
Таким образом, руткиты могут предоставлять преступникам бэкдор, напрямую красть ваши данные (например, пароли и данные кредитных карт) или включать ваш компьютер в ботнет.
В любом случае, руткит затрудняет обнаружение и удаление.
tor-rootkit
Как использовать
Клонируйте репозиторий и измените каталог:
git clone https://github.com/emcruise/TorRootkit.git cd ./tor-rootkit
Создайте docker контейнер:
docker build -t listener .
Запустите контейнер docker:
docker run -v $(pwd)/executables:/executables/ -it listener
Разверните исполняемые файлы: Когда слушатель запущен и работает, он создает каталог “executables”, содержащий различные полезные нагрузки для разных платформ.
TorRootkit/ │ ... └ executables/
Примечание: Клиент может занять некоторое время для подключения, поскольку исполняемые файлы PyInstaller немного медленнее, и ему необходимо запустить tor.
Особенности
- Автономные исполняемые файлы для Windows и Linux, включая интерпретатор python и tor
- Вся коммуникация работает через скрытые сервисы tor, что гарантирует некоторую степень анонимности
- Слушатель может работать с несколькими клиентами
- Слушатель генерирует полезную нагрузку для различных платформ при запуске
Shell команды слушателя
| Команда | Описание |
|---|---|
| help | Отображает меню справки |
| ^C or exit | Выход из оболочки |
| list | список всех подключенных клиентов с их соответствующим индексом |
| select <index> | запустить оболочку с клиентом |
Shell команды клиента
| Команда | Описание |
|---|---|
| help | Отображает меню справки |
| ^C or exit | Выход из оболочки клиента и возврат в оболочку слушателя |
| os <command> | Выполняет команду в оболочке клиента и возвращает вывод |
| background | Сохраняет соединение с клиентом и возвращается к слушателю |
См. также:
- Три инструмента для сканирования Linux-сервера на наличие вирусов, вредоносных программ и руткитов
- Поиск руткитов в модулях ядра : Tyton
- 5 инструментов для сканирования Linux-сервера на вредоносные программы и руткиты
- Образовательный Ubuntu Linux руткит
- BEURK – Экспериментальный Unix руткит
- rkhunter проверка на наличие руткитов
- 🧱 HiddenWall – Создание скрытых модулей ядра
¯\_(ツ)_/¯ Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.
