Экспериментальный UNIX rootkit

Автор: unix-thrust
URL: https://github.com/unix-thrust/beurk
Система: Linux

BEURK — это экспериментальный UNIX rootkit пользовательского пространства, который сфокусирован на антиотладочных и антидетект-фишках.

Особенности:

  • скрытие файлов и директорий атакующего;
  • очистка логов в режиме реального времени (utmp/wtmp);
  • механизмы скрытия процессов;
  • обход анализа с помощью таких инструментов, как unhide, lsof, ps, ldd, netstat;
  • PTY backdoor клиент.

Также совсем скоро автор обещает сделать:

  • ptrace(2) hooking для антиотладки;
  • хукинг libpcap для обмана локальных сниферов;
  • PAM backdoor для локального поднятия привилегий.

Установка:

scp libselinux.so root@victim.com:/lib/
ssh root@victim.com 'echo /lib/libselinux.so >> /etc/ld.so.preload'

Соединение:

./client.py victim_ip:port

Отдельно стоит отметить, что проект имеет совсем неплохую документацию. И учти, проект находится в активной стадии разработки!

 

Система обнаружения вредоносного трафика

Автор: Miroslav Stampar
URL: https://github.com/stamparm/maltrail
Система: Windows/Linux

Maltrail — это система обнаружения вредоносного трафика на Python, использующая публично доступные черные списки вредоносных и/или подозрительных «следов», составленные по отчетам антивирусов и определенные пользователями. «Следами» могут быть DNS-имена, URL или IP-адреса. Также инструмент имеет опциональную настройку по продвинутому эвристическому механизму, который может помочь обнаружить неизвестные угрозы (например, новую малварь). Это может быть полезно как для мониторинга собственной инфраструктуры, так и для изучения стороннего вредоносного кода, эксплоит-паков.

Инструмент имеет трехзвенную архитектуру: сенсор, сервер, клиент. Сенсор — это специальная программа, которая запущена на наблюдаемом узле и пассивно снифает трафик на наличие в нем подозрительных следов. Если такие обнаруживаются, отправляет детали события на сервер, где событие хранится. Для просмотра информации используется специальный клиент.

Инструмент просто must have для безопасников! Ну и энтузиасты-исследователи также найдут ему достойное применение.

Для установки необходим Python 2.6 или 2.7, а также python-pcapy. Подробнейший гайд по установке и использованию смотри на GitHub проекта.

 

Java Deserialization Exploit

Автор: Nick Fox
URL: https://github.com/njfox/Java-Deserialization-Exploit
Система: Linux

Эксплуатация уязвимостей, связанных с неправильной десериализацией объектов в Java, — тема не новая, но до сих пор эксплуатацию таких уязвимостей еще никто не пытался автоматизировать. Однако ситуация изменилась с появлением инструмента Java Deserialization Exploit, который, в свою очередь, базируется на инструменте ysoserial Криса Фрохоффа (Chris Frohoff).

Данный инструмент позволяет получить удаленный шелл на уязвимых Linux-машинах. Он эксплуатирует уязвимость Java-десериализации, используя Metasploit framework для генерации вредоносного файла и встроенный веб-сервер для передачи полезной нагрузки на сторону жертвы. Немного модифицированная версия ysoserial приспособлена для загрузки и выполнения двоичного файла на стороне жертвы.

Инструмент тоже очень новый и активно разрабатывается. На наш взгляд, он со временем значительно упростит эксплуатацию уязвимостей класса Java Deserialization.

 

Msfvenom Payload Creator (MPC)

Продолжение статьи доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все статьи на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта, включая эту статью. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Вариант 2. Купи одну статью

Заинтересовала статья, но нет возможности оплатить подписку? Тогда этот вариант для тебя! Обрати внимание: этот способ покупки доступен только для статей, опубликованных более двух месяцев назад.


Комментарии

Подпишитесь на ][, чтобы участвовать в обсуждении

Обсуждение этой статьи доступно только нашим подписчикам. Вы можете войти в свой аккаунт или зарегистрироваться и оплатить подписку, чтобы свободно участвовать в обсуждении.

Check Also

Мошенничество по воздуху. Разбираем возможность Cryptogram Replay Attack в Apple Pay

Задача платежной системы — списать нужную сумму в пользу продавца со счета верное число ра…