محمد نصیری
هکر کلاه سفید ، کارشناس امنیت اطلاعات و ارتباطات

Kbeast چیست؟ معرفی روتکیت لینوکسی کی بیست

قبلا در خصوص انواع Rootkit ، مکانیزم های عملکرد آنها و بسیاری دیگر از این دسته صحبت کرده ایم و امروز می خواهیم در ادامه معرفی Rootkit ها یک Rootkit لینوکسی به نام KBeast را معرفی کنیم . KBeast مخفف Kernel Beast ( جونور کرنلی !!! واقعا ترجمش همین میشه ) می باشد و یک Rootkit لینوکسی است که بعد از نصب یک Kernel Module به هسته اصلی سیستم عامل لینوکس اضافه می کند . طبیعی است که با توجه به تغییر یافتنKernel های لینوکس این نوع Rootkit در همه Kernel ها قابل نصب نیست اما در نسخه های 2.6.16 ، 2.6.18 ، 2.6.32 و همچنین 2.6.35 لینوکس به خوبی اجرا می شود .

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

این Rootkit بعد از نصب این امکان را به هکر می دهد که بصورت از راه دور بتواند به سیستم قربانی دسترسی داشته باشد و اینکار از طریق اجزای مخفی که در این Rootkit تعبیه شده اند انجام می شود . در این Rootkit یک Backdoor بصورت مخفی وجود دارد که بعد از اجرا کاملا از دید Application های اجرا شده در لینوکس مخفی است و قابل شناسایی نمی باشد .

این Rootkit امکان مخفی کردن فایل ها ، دایرکتوری ها و پردازش های سیستمی را دارد و شما می توانید تعیین کنید که خروجی دستورات pstree ، top و lsof چه چیزی نمایش داده شود . جالب است بدانید که درون یکی از اجزای این Rootkit یک Keylogger نیز وجود دارد که امکان شنود کلیه فعالیت ها بر روی کیبورد قربانی را به هکر می دهد . حتی خروجی دستورات شبکه ای مثل netstat نیز توسط KBeast قابل کنترل است . از قابلیت های مهم این Rootkit می توانیم به موارد زیر اشاره کنیم :

  1. مخفی کردن Kernel Module های قابل Load
  2. مخفی کردن فایل های و دایرکتوری ها
  3. مخفی کردن Process ها از دید ابزارهای ps , top , pstree و lsof
  4. مخفی کردن socket ها و Connection ها از خروجی دستورات netstat و lsof
  5. دریافت کلیه کلیدهای فشرده شده در کیبورد یا Keystroke Logging
  6. انجام فرآیند جلوگیری از حذف یک Process یا Anti-Kill
  7. انجام فرآیند جلوگیری از حذف یک فایل یا Anti-Remove
  8. انجام فرآیند جلوگیری از حذف ماژول کرنل یا Anti-Delete
  9. امکان استفاده از دسترسی root و راه اندازی Backdoor با دسترسی بالا
  10. مخفی کردن Backdoor از راه دور
  11. و ....

محمد نصیری
محمد نصیری

هکر کلاه سفید ، کارشناس امنیت اطلاعات و ارتباطات

هکر کلاه سفید ، کارشناس امنیت اطلاعات و ارتباطات و کشف جرائم رایانه ای ، بیش از 12 هزار ساعت سابقه تدریس در بیش از 40 سازمان دولتی ، خصوصی و نظامی ، علاقه مند به یادگیری بیشتر و عاشق محیط زیست ، عضو کوچکی از مجموعه توسینسو

20 خرداد 1397 این مطلب را ارسال کرده

نظرات