Cara Membangun Stealth Backdoors

| Author : thofiba blogspot | Label : Artikel | Jumat 18 Maret 2016 |

Pada posting ini saya akan memberitahu Anda tentang beberapa teknik yang digunakan untuk membangun backdoors siluman. Lalu, saya juga akan menunjukkan cara untuk mendeteksi jenis malware dan menjaga sistem Anda aman.

Artikel ini pada dasarnya mengatakan bahwa backdoor seperti itu tidak terdeteksi dan dapat diinstal hampir di mana-mana tanpa diketahui oleh pengguna. Makalah ini berbicara tentang Turla Trojan yang didasarkan pada cd00r PoC port knocking backdoor.

Bagaimana cara kerjanya?

Saya belum berhasil mendapatkan kode sumber Turla sehingga kita akan menggunakan cd00r backdoor tersedia untuk umum. Sebelum menyelam ke dalam kode, mari kita pertama lihat bagaimana cara kerjanya.

Backdoor ini menggunakan teknik yang dikenal sebagai Pelabuhan Mengetuk. Teknik ini terdiri atas mendeteksi urutan tertentu dari upaya koneksi ke port yang berbeda. Jika urutan yang benar, aturan firewall perubahan yang memungkinkan akses ke layanan tertentu.

Kode cd00r backdoor yang menggunakan teknik ini untuk mengaktifkan layanan telnet pada mesin korban menggunakan superdaemon inetd.

Apakah Ini dapat Diimplementasikan?

Kode cd00r dapat diimplementasikan sebagai sniffer yang menangkap lalu lintas pada mesin target. sniffer menangkap paket dan mencari paket TCP SYN dengan port target yang cocok dengan urutan yang telah ditentukan. Kode cd00r backdoor menggunakan libpcap untuk menangkap paket tersebut.

Semua kode untuk setup sniffer adalah dalam fungsi utama. Saya akan memberikan beberapa petunjuk tentang cara untuk pergi melalui itu. Sisa kode standar C dan tidak perlu banyak penjelasan.

Sebuah Libpcap Sniffer

Jadi, mari kita lihat bagaimana sniffer libpcap terlihat seperti. Kode cd00r cukup verbose, jadi saya akan menggunakan versi modifikasi kesederhanaan. Kapanpun Anda memiliki dan memahami ide dasar, melompat ke fungsi utama cd00r untuk melihat beberapa kode yang lebih lengkap.

Sebuah libpcap sniffer minimal membutuhkan sekitar 5 fungsi panggilan (sekelompok variabel). Sesuatu seperti ini: Yap, akhirnya saya upload kode gambar ... Aku akan bandwidth selamanya .... Itu pada dasarnya ... sebuah tcpdump Mini.

Dalam loop utama (hal-hal di dalam blok sementara), aplikasi mendapat paket yang cocok filter ditentukan memanggil fungsi pcap_next. Maka paket tersebut diproses dan proses dimulai lagi.

Jika Anda melihat cd00r.c dari garis 449 dan, Anda akan melihat bagaimana header yang berbeda (Ethernet dan IP) yang dilewati untuk sampai ke paket TCP. Kemudian, setelah beberapa pemeriksaan (pada dasarnya memastikan bahwa itu adalah sebuah paket SYN yang valid) port dibandingkan dengan daftar yang telah ditentukan.

Ketika semua port "mengetuk" (dalam urutan yang benar), fungsi cdr_open_door dijalankan. Fungsi ini hanya membawa sebuah server telnet menggunakan inetd, secara efektif memungkinkan akses remote ke mesin korban.

Stealth backdoor

Sebuah backdoor seperti cd00r adalah praktis tak terlihat sebagian besar waktu. Alat seperti netstat atau bahkan tcpdump tidak akan melihat apapun aktivitas sama sekali. Tidak ada port yang terbuka. Tidak ada koneksi yang terjadi.

Kemudian, ketika urutan yang benar dari paket diterima, telnet server akan mudah terlihat serta koneksi dari luar. Tapi melakukan koneksi singkat akan sulit deteksi. Itu cukup menakutkan. Nah, sebenarnya, tidak. semacam ini backdoors dapat dideteksi dengan sangat mudah jika Anda tahu di mana untuk melihat.

Pada bagian sebelumnya, saya telah menunjukkan Anda bagaimana untuk menulis sniffer menggunakan libpcap. Tapi, di bawah tenda, libpcap benar-benar menciptakan socket RAW yang dapat dilihat dengan baris seperti ini:

Sudo lsof | grep RAW

Jika Anda hanya menjalankan baris ini pada komputer Anda sekarang, Anda mungkin melihat beberapa contoh dhclient atau tidak. Setiap sniffer pada sistem Anda akan dengan mudah dideteksi dengan cara itu (sejauh tidak ada rootkit diinstal). Api sniffer pilihan Anda (tcpdump, wireshark, ...), mulai menangkap lalu lintas dan re-run lsof lagi ...

Lebih Stealth

Kode cd00r itu merupakan bukti dari konsep latihan dan itu tidak benar-benar dimaksudkan untuk menjadi ancaman nyata. Setiap kali layanan telnet dimulai akan mudah terlihat, dan biasanya firewall akan mencegah koneksi dari luar. Agar tetap siluman, data harus ditransmisikan menggunakan protokol kurang jelas. Misalnya: ICMP.

Anda dapat menemukan contoh dari ICMP terbalik implementasi shell di sini . Yang satu ini menggunakan tingkat rendah soket RAW bukan libpcap, tetapi prinsip keseluruhan adalah sama. Hal ini juga menyediakan implementasi popen alternatif yang mungkin menarik bagi seseorang di sini.

Bagian terpencil sistem hirupan paket ICMP. Ketika paket ICMP khusus ditangkap, data yang terdapat dalam paket dianggap perintah dan dieksekusi. Hasil eksekusi dikirim kembali paket ICMP lain untuk mesin penyerang. ICMP duduk disamping IP dalam TCP / IP stack dan, oleh karena itu, tidak pada tingkat transportasi. Itu berarti bahwa tidak ada port yang terkait dengan paket ICMP. Jadi tidak ada port yang terbuka untuk memantau atau mendeteksi. Namun, seperti yang terjadi dengan cd00r, soket RAW akan berada di sana dan akan terdeteksi. Juga lalu lintas ICMP tidak biasa mungkin akan diperhatikan oleh administrator berpengalaman.

Kesimpulan

Jika sejauh ini Anda memiliki dan mengikuti referensi yang berbeda pada posting ini Anda mungkin tahu sekarang, bagaimana menulis sniffer Anda sendiri dan bagaimana untuk menggunakan dekat dengan aplikasi jaringan tidak terdeteksi. Anda mungkin juga belajar bahwa hampir tidak mungkin (tanpa rootkitting sistem) untuk menyebarkan aplikasi yang sama sekali tidak terdeteksi. Selalu ada sesuatu yang tertinggal ...