Экспериментальный UNIX rootkit

Автор: unix-thrust
URL: https://github.com/unix-thrust/beurk
Система: Linux

BEURK — это экспериментальный UNIX rootkit пользовательского пространства, который сфокусирован на антиотладочных и антидетект-фишках.

Особенности:

  • скрытие файлов и директорий атакующего;
  • очистка логов в режиме реального времени (utmp/wtmp);
  • механизмы скрытия процессов;
  • обход анализа с помощью таких инструментов, как unhide, lsof, ps, ldd, netstat;
  • PTY backdoor клиент.

Также совсем скоро автор обещает сделать:

  • ptrace(2) hooking для антиотладки;
  • хукинг libpcap для обмана локальных сниферов;
  • PAM backdoor для локального поднятия привилегий.

Установка:

scp libselinux.so root@victim.com:/lib/
ssh root@victim.com 'echo /lib/libselinux.so >> /etc/ld.so.preload'

Соединение:

./client.py victim_ip:port

Отдельно стоит отметить, что проект имеет совсем неплохую документацию. И учти, проект находится в активной стадии разработки!

 

Система обнаружения вредоносного трафика

Автор: Miroslav Stampar
URL: https://github.com/stamparm/maltrail
Система: Windows/Linux

Maltrail — это система обнаружения вредоносного трафика на Python, использующая публично доступные черные списки вредоносных и/или подозрительных «следов», составленные по отчетам антивирусов и определенные пользователями. «Следами» могут быть DNS-имена, URL или IP-адреса. Также инструмент имеет опциональную настройку по продвинутому эвристическому механизму, который может помочь обнаружить неизвестные угрозы (например, новую малварь). Это может быть полезно как для мониторинга собственной инфраструктуры, так и для изучения стороннего вредоносного кода, эксплоит-паков.

Инструмент имеет трехзвенную архитектуру: сенсор, сервер, клиент. Сенсор — это специальная программа, которая запущена на наблюдаемом узле и пассивно снифает трафик на наличие в нем подозрительных следов. Если такие обнаруживаются, отправляет детали события на сервер, где событие хранится. Для просмотра информации используется специальный клиент.

Инструмент просто must have для безопасников! Ну и энтузиасты-исследователи также найдут ему достойное применение.

Для установки необходим Python 2.6 или 2.7, а также python-pcapy. Подробнейший гайд по установке и использованию смотри на GitHub проекта.

 

Java Deserialization Exploit

Автор: Nick Fox
URL: https://github.com/njfox/Java-Deserialization-Exploit
Система: Linux

Эксплуатация уязвимостей, связанных с неправильной десериализацией объектов в Java, — тема не новая, но до сих пор эксплуатацию таких уязвимостей еще никто не пытался автоматизировать. Однако ситуация изменилась с появлением инструмента Java Deserialization Exploit, который, в свою очередь, базируется на инструменте ysoserial Криса Фрохоффа (Chris Frohoff).

Данный инструмент позволяет получить удаленный шелл на уязвимых Linux-машинах. Он эксплуатирует уязвимость Java-десериализации, используя Metasploit framework для генерации вредоносного файла и встроенный веб-сервер для передачи полезной нагрузки на сторону жертвы. Немного модифицированная версия ysoserial приспособлена для загрузки и выполнения двоичного файла на стороне жертвы.

Инструмент тоже очень новый и активно разрабатывается. На наш взгляд, он со временем значительно упростит эксплуатацию уязвимостей класса Java Deserialization.

 

Msfvenom Payload Creator (MPC)

Продолжение доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все материалы на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Вариант 2. Купи один материал

Заинтересовала информация, но нет возможности оплатить подписку? Тогда этот вариант для тебя! Обрати внимание: этот способ покупки доступен только для материалов, опубликованных более двух месяцев назад.


d1g1

Редактор рубрики «X-TOOLS», известный white hat, специалист компании <a href="http://www.dsec.ru/">Digital Security</a>

Оставить мнение

Check Also

JavaScript-библиотека eslint-scope была скомпрометирована и похищала учетные данные npm

Неизвестные лица взломали разработчика популярной JavaScript-библиотеки eslint-scope (моду…