Sie sind nicht angemeldet.

1

Mittwoch, 3. Oktober 2012, 20:04

Netcat in Rootkit verstecken & auf Windows PC installieren & anwenden - Rootkit entdecken

Eine weitere Möglichkeit einen Backdoor Listener wie z.B. Netcat anzuwenden, ist das Programm auf dem infiltriertem Windows Rechner in einen sogenannten "Rootkit" zu verstecken und auf dem Windows Rechner installieren & auszuführen, sodass diese Prozesse, wie auch die Dateien (nc.exe, rootkit.exe, etc) von einem Windows Rechner nicht mehr so leicht zu finden bzw. zu entdecken sind, zumindest nicht mit einfachen und herkömmlichen Methoden wie wir am folgenden Beispiel gleich sehen werden.

Da der Rootkit die Aufgabe hat einen Trojaner und dessen Prozess zu verstecken, ist die Datei ansich eigentlich nicht gefährlich, das gemeine ist eben, das weder das Windows Betriebssystem, noch die herkömmlichen Virenscanner weder den Rootkit noch den versteckten Trojaner mehr erkennen werden und man somit überhaupt nicht merkt, das der Rechner einem Hackerangriff zum Opfer gefallen ist!

Drum zeigen wir in diesem Tutorial auch nicht genau wie man so einen Rootkit konfiguriert, sondern was dieser auf einem Windows System anstellt und wie man solche versteckte Rootkits Mithilfe von z.B. Backtrack auf die Schliche kommen kann.




Schritt für Schritt Anleitung

Zuerst verschaffen wir uns also wieder Zutritt zu einem Windows System (in unserem Beispiel ein XP) und stellen eine Verbindung, bzw. eine Meterpreter Session her um die benötigten Dateien auf den Windows Rechner zu kopieren




Rootkit hxdef100.ini konfigurieren
wie man sieht soll der Prozess des Trojaner (nc.exe), sowie dessen Startbefehl damit die Datei ausgeführt wird, mit dem Rootkit in dem infiltriertem Windows-Betriebssystem versteckt werden.





und nun Netcat & die Rootkit Dateien (nc.exe, hxdef100.exe & hxdef100.ini) auf den Windows Rechner kopieren




schauen wir kurz ob die Dateien auf dem Windows Rechner sind




Kontrolle auch auf dem Windows Rechner selber, die Dateien sind also vorhanden!




somit kann der Rootkit gestarten werden -> start hxdef100.exe




wenn wir nun erneut in das Verzeichnis C:\ des Windows Rechners schauen, sind die Dateien nc.exe, hxdef100.exe und hxdef100.ini verschwunden




auch auf dem Windows Rechner kann man die Dateien nicht mehr sehen




Schliessen wir nun die aktuelle Meterpreter Session und starten eine neue Verbindung mit dem Windows-PC , die wir nun mit unserem Trojaner (Netcat/nc.exe) herstellen können -> nc ip-windows/victim port
und gehen erneut mit der Shell Konsole in das Windows Verzeichnis c:\ -> wir können die Daten nc.exe, hxder100.exe und hxdef100.ini nun wieder sehen!





auch mit telnet kann nun ganz einfach eine Verbindung aufgebaut werden -> telnet ip-victim port -> und wir können die Dateien in der Shell Konsole sehen




mit netstat -ano wird die hergestellte Verbindung des Windows PC mit IP 192.168.1.35 von Port 100 auf unseren Rechner angezeigt (Backtrack/IP 192.168.1.36)




im Gegensatz zum Windows Rechner, hier werden wir nun regelrecht unser "blaues Wunder" erleben, denn wenn wir hier in der CMD-Konsole "netstat -ano" eingeben wird keine hergestellte Verbindung angezeigt, auch nichts auf Port 100, da wir diesen Port in der Rootkit Konfiguration ebenso versteckt haben




ebenso im Taskmanager unter laufende Prozesse wird weder die nc.exe noch die hxdef100.exe angezeigt obwohl die beiden Prozesse garantiert laufen, sonst hätten wir mit Netcat bzw. Telnet keine Verbindung aufbauen können, auch sehen wir ja unter Backtrack eine hergestellte Verbindung zu diesem Rechner!




über die CMD-Konsole werden die Dateien im Verzeichnis c:\ auch nicht angezeigt, obwohl wir sie ja, wenn wir über Netcat oder Telnet mit der Shell-Konsole in das Verzeichnis schauen, die Dateien sehen können & diese dort ja auch vorhanden sind!




wenn wir nun den Prozess des Rootkit beenden -> net stop "HXD Service 100"




und in der Windows CMD-Konsole nun erneut "netstat -ano" eingeben, sehen wir die hergestellte Verbindung zu unserem Backtrack-Rechner




wie im Windows Taskmanager nun auch die aktive nc.exe




sowie im Verzeichnis c:\ im Explorer die Dateien auch wieder erscheinen und man sie nun auch einfach löschen kann (Prozess nc.exe vorher beenden!)




Ihr seht also die Sicherheit von Windows ist ein weiteres Male nichts anders als ein riesen großer Trugschluss, wenn sich ein Betriebssystem so täuschen lassen kann!

Rootkit & versteckte Trojaner mit Rootkit Scanner Sophos & Gmer entdecken


Viel Erfolg!

:thumbup:



Bootable USB-Stick mit Backtrack5 & den eBook's WPA/WPA2 & WEP Key Hack
zum Downloadshop - Bootable USB-Stick mit Backtrack5 & den eBook's WPA/WPA2 & WEP Key Hack



  • Bootable USB-Stick mit Backtrack5 & den eBook's WPA/WPA2 & WEP Key Hack
  • Downloadlink zur kostenlosen Software
Jetzt kaufen - zum Downloadshop



2

Samstag, 11. Mai 2013, 00:00

thanks , rootkit source download? :)

Thema bewerten
Besucherzhler code