قبلا در خصوص انواع Rootkit ، مکانیزم های عملکرد آنها و بسیاری دیگر از این دسته صحبت کرده ایم و امروز می خواهیم در ادامه معرفی Rootkit ها یک Rootkit لینوکسی به نام KBeast را معرفی کنیم . KBeast مخفف Kernel Beast ( جونور کرنلی !!! واقعا ترجمش همین میشه ) می باشد و یک Rootkit لینوکسی است که بعد از نصب یک Kernel Module به هسته اصلی سیستم عامل لینوکس اضافه می کند . طبیعی است که با توجه به تغییر یافتنKernel های لینوکس این نوع Rootkit در همه Kernel ها قابل نصب نیست اما در نسخه های 2.6.16 ، 2.6.18 ، 2.6.32 و همچنین 2.6.35 لینوکس به خوبی اجرا می شود .
دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
این Rootkit بعد از نصب این امکان را به هکر می دهد که بصورت از راه دور بتواند به سیستم قربانی دسترسی داشته باشد و اینکار از طریق اجزای مخفی که در این Rootkit تعبیه شده اند انجام می شود . در این Rootkit یک Backdoor بصورت مخفی وجود دارد که بعد از اجرا کاملا از دید Application های اجرا شده در لینوکس مخفی است و قابل شناسایی نمی باشد .
این Rootkit امکان مخفی کردن فایل ها ، دایرکتوری ها و پردازش های سیستمی را دارد و شما می توانید تعیین کنید که خروجی دستورات pstree ، top و lsof چه چیزی نمایش داده شود . جالب است بدانید که درون یکی از اجزای این Rootkit یک Keylogger نیز وجود دارد که امکان شنود کلیه فعالیت ها بر روی کیبورد قربانی را به هکر می دهد . حتی خروجی دستورات شبکه ای مثل netstat نیز توسط KBeast قابل کنترل است . از قابلیت های مهم این Rootkit می توانیم به موارد زیر اشاره کنیم :
- مخفی کردن Kernel Module های قابل Load
- مخفی کردن فایل های و دایرکتوری ها
- مخفی کردن Process ها از دید ابزارهای ps , top , pstree و lsof
- مخفی کردن socket ها و Connection ها از خروجی دستورات netstat و lsof
- دریافت کلیه کلیدهای فشرده شده در کیبورد یا Keystroke Logging
- انجام فرآیند جلوگیری از حذف یک Process یا Anti-Kill
- انجام فرآیند جلوگیری از حذف یک فایل یا Anti-Remove
- انجام فرآیند جلوگیری از حذف ماژول کرنل یا Anti-Delete
- امکان استفاده از دسترسی root و راه اندازی Backdoor با دسترسی بالا
- مخفی کردن Backdoor از راه دور
- و ....