LKM Linux rootkit | 基于Linux内核模块编写的rootkit
作者:Sec-Labs | 发布时间:
项目地址
https://github.com/f0rb1dd3n/Reptile
项目名称
Reptile
相关技术点
- Linux内核模块编程
- 文件和进程的隐藏
- TCP/UDP连接的隐藏
- ICMP/UDP/TCP端口突破后门
- TTY/PTY shell远程控制
- obfuscation技术
项目用途
Reptile是一个基于Linux内核模块编写的rootkit,可以实现以下功能:
- 给非特权用户提供root权限
- 隐藏文件和目录
- 隐藏进程
- 隐藏自身
- 隐藏TCP / UDP连接
- 隐藏的启动持久性
- 文件内容篡改
- 一些混淆技术
- ICMP / UDP / TCP端口突破后门
- 全TTY / PTY shell,具有文件传输功能
- 与Reptile Shell配对的客户端
- Shell每X次连接回来一次(不是默认值)
使用该工具需要注意:
- 该工具的某些功能基于其他rootkits,请查看参考文献
- 如果需要更多信息,请联系作者
该工具可以用于网络安全渗透测试、恶意软件分析等领域。
Reptile(蜥蜴)
测试环境
Debian 9: 4.9.0-8-amd64
Debian 10: 4.19.0-8-amd64
Ubuntu 18.04.1 LTS: 4.15.0-38-generic
Kali Linux: 4.18.0-kali2-amd64
Centos 6.10: 2.6.32-754.6.3.el6.x86_64
Centos 7: 3.10.0-862.3.2.el7.x86_64
Centos 8: 4.18.0-147.5.1.el8_1.x86_64
特点
- 将管理员权限授予非特权用户
- 隐藏文件和目录
- 隐藏进程
- 自我隐藏
- 隐藏 TCP/UDP 连接
- 隐藏引导持久性
- 文件内容篡改
- 一些混淆技术
- ICMP/UDP/TCP 端口敲门后门
- 带文件传输的完整 TTY/PTY shell
- 用于处理 Reptile Shell 的客户端
- Shell 连接回来每 X 次(不是默认的)
安装
apt install build-essential libncurses-dev linux-headers-$(uname -r)
git clone https://github.com/f0rb1dd3n/Reptile.git
cd Reptile
make menuconfig # or 'make config' or even 'make defconfig'
make
make install
更多安装细节请参见Wiki
卸载
当您成功安装时,将在屏幕上显示删除方式
用法
有关使用详细信息,请参见Wiki。所以,在提出问题之前,请阅读该手册!
警告
此模块的某些功能基于其他 rootkits。请参见参考资料!
参考资料
- “LKM HACKING”, The Hackers Choice (THC), 1999;
- https://github.com/mncoppola/suterusu
- https://github.com/David-Reguera-Garcia-Dreg/enyelkm.git
- https://github.com/creaktive/tsh
- https://github.com/brenns10/lsh
感谢
特别感谢我的朋友 Ilya V. Matveychikov 提供 KHOOK 框架和 kmatryoshka 加载器。
免责声明
如果您需要更多信息,请发送电子邮件至 f0rb1dd3n@tuta.io
标签:工具分享, 免杀工具