न्यू यूजरलैंड-रूटकिट अज़ज़ेल

आपने रूटकिट्स Jynx और Jynx2 के बारे में सुना होगा। ये तथाकथित यूजरलैंड रूटकिट हैं; वे LD_PRELOAD चर की संभावना का उपयोग करते हैं, जो प्रोग्राम लॉन्च होने से पहले किसी भी लाइब्रेरी को लोड करने की अनुमति देता है। वे पहले से ही अपेक्षाकृत पुराने हैं, लेकिन फिर भी अच्छी तरह से काम करते हैं।
2 दिन पहले, github उपयोगकर्ता Chokepoint ने rootkit Azazel को पोस्ट किया था। यह Jynx स्रोत कोड पर आधारित है और इसमें कई नई विशेषताएं हैं:

• विरोधी डिबगिंग तंत्र
• Unhide, lsof, ps, ldd से छिपाएं
• फाइलों और निर्देशिकाओं को छिपाना
• दूरस्थ कनेक्शन छिपाएँ
• छिपाने की प्रक्रिया
• छिपने के लोगिन
• PCAP के माध्यम से स्थानीय ट्रैफ़िक सूँघने से छिपाएँ
• पूर्ण गोले के साथ 2 पीठ (PTY के साथ):
• - क्रिप्टकूट स्वीकार () - पिछले दरवाजे
• - सामान्य स्वीकार () - पिछले दरवाजे
• किसी भी उपयोगकर्ता के तहत प्रमाणीकरण के लिए PAM बैकडोर
• पीटीवाई के लिए सफाई utmp / wtmp लॉग
• Xor के माध्यम से संकलित पुस्तकालय लाइनों का अवलोकन।

आइए उन्हें विस्तार से देखें।

पोर्ट छिपाना

Azazel netstat, ss, lsof जैसे कार्यक्रमों से छिप सकता है। यह कॉन्फ़िगरेशन के दौरान निर्दिष्ट पोर्ट की विशिष्ट श्रेणियों के साथ कनेक्शन छुपाता है। डिफ़ॉल्ट रूप से, पोर्ट 61040 - 61050 का उपयोग एक प्लेटेक्स्ट बैकडोर के लिए किया जाता है, और 61051 - 61060 - क्राय्थूक के लिए (यह एक पुस्तकालय है जो मक्खी पर भेजने / भेजने / पुनरावृत्ति / पुनरावृत्ति और एंक्रीप्ट / डिक्रिप्ट) को इंटरसेप्ट करता है। कनेक्शन छिपाए जाने के लिए, स्रोत पोर्ट इस श्रेणी के अंतर्गत आना चाहिए, इसलिए आप किसी भी कंप्यूटर से दूरस्थ रूप से कनेक्ट कर सकते हैं, बस स्रोत पोर्ट को श्रेणी से सेट करें:

$ ncat target 22 -p 61040 changeme Welcome! Here's a shell. root@host:/root # 

  $ LD_PRELOAD=./crypthook.so ncat localhost 22 -p 61051 changeme Welcome! Here's a shell. root@host:/root/ # 

PAM पिछले दरवाजे

शायद सबसे दिलचस्प विशेषता। जैसा कि आप जानते हैं, बड़ी संख्या में आधुनिक कार्यक्रम उपयोगकर्ताओं को प्रमाणित करने के लिए PAM का उपयोग करते हैं। इस प्रकार, यदि हम PAM प्रमाणीकरण में हेरफेर कर सकते हैं, तो हम सिस्टम पर किसी भी उपयोगकर्ता के रूप में लॉग इन कर सकते हैं। अज़ाजेल अपने पीएएम मॉड्यूल को लागू नहीं करता है, लेकिन मौजूदा लोगों को स्वीकार करता है।

  $ make client $ LD_PRELOAD=./client.so ssh rootme@localhost root@host:/ # 

  $ su - rootme # 

Wtmp / utmp को साफ करें

जब आप PTY में लॉग इन करते हैं, तो उपयोगकर्ता स्टेट को बचाने के लिए wtmp और utmp फाइल का उपयोग किया जाता है और I / O लॉग इन किया जाता है। पोर्ट बैकडोर के मामले में और मैन्युअल रूप से स्वचालित रूप से सफाई संभव नहीं होने पर (उदाहरण के लिए, यदि आप एक पीएएम पिछले दरवाजे से कनेक्ट करने के लिए)।

  $ w | grep pts/16 root pts/16 :0.0 Wed16 2:33m 0.16s 0.16s bash 

  $ CLEANUP_LOGS="pts/16" ls utmp logs cleaned up. wtmp logs cleaned up. 

  $ w | grep pts/16 $ 

एंटी डिबगिंग

खैर, यहां कुछ भी दिलचस्प नहीं है। यह ptrace () और रिटर्न -1 द्वारा इंटरसेप्टेड है।

  $ strace -p $PPID Don't scratch the walls 

फ़ाइलों और निर्देशिकाओं को छुपाना

Jynx किसी विशिष्ट UID या GID से संबंधित किसी भी फाइल को छिपाने में सक्षम था। आप ऐसी फ़ाइलों को खोल सकते हैं, पढ़ सकते हैं और लिख सकते हैं, लेकिन निर्देशिकाओं को सूचीबद्ध करते समय आप उन्हें नहीं देखेंगे।

छिपाने की प्रक्रिया

Azazel उन प्रक्रियाओं को छुपाता है जो फ़ाइलों की तरह एक विशिष्ट GID या UID से संबंधित हैं। लेकिन कभी-कभी आपको किसी तरह छिपी हुई फ़ाइलों और प्रक्रियाओं को देखने की आवश्यकता होती है, इसके लिए आप डिफ़ॉल्ट HIDE_THIS_SHELL द्वारा एक चर का उपयोग कर सकते हैं

  $ env HIDE_THIS_SHELL=plz ncat -l -p 61061 

Ldd / unhide से छुपाएं

Azazel ldd और unhide से छिपा सकता है, बस उनमें नहीं जा रहा है। यह, ज़ाहिर है, एक दिलचस्प नहीं है, लेकिन काफी प्रभावी तरीका है।

स्ट्रिंग obfuscation

यदि हम Jynx और Jynx2 पुस्तकालयों की लाइनों को देखते हैं, उदाहरण के लिए, स्ट्रिंग्स के माध्यम से, हम शायद समझेंगे कि यह किसी प्रकार की खराब लाइब्रेरी है, हालांकि, Azazel सिर्फ XOR है-यह इसकी सभी लाइनें हैं, और तार कुछ भी नहीं दिखाएगा।

इस तरह के रूटकिट से खुद को बचाना काफी समस्याग्रस्त है। वे rkhunter और chkrootkit जैसी उपयोगिताओं के माध्यम से दिखाई नहीं दे रहे हैं। फिलहाल, फ़ंक्शन अवरोधन की जांच करने का एक तरीका है , लेकिन, सैद्धांतिक रूप से, libdl.so से कार्यों को रोकना काफी संभव है, और फिर LiveCD और दिमागों के अलावा कुछ भी मदद नहीं करेगा।
अपनी कारों का ख्याल रखें।