Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Persistence For Fun and Profit

halitalptekin
September 08, 2015

Persistence For Fun and Profit

Persistence For Fun and Profit slides at Hacktrick

halitalptekin

September 08, 2015
Tweet

More Decks by halitalptekin

Other Decks in Technology

Transcript

  1. $ whoami EDUC Bilgisayar mühendisliği WORK Siber güvenlik, PRODAFT IDEA

    Özgür yazılım ve açık kaynak tutkunu MEMB TMD, LKD, Octosec LIFE GO, matematik, kriptoloji HOBB A sınıfı amatör telsizci, elektronik, robotik 1
  2. simple ∙ Akla gelen ilk ve en kolay yol ∙

    Çok fazla alternatifi var ∙ Tespiti ve korunma yolları basit ∙ while true; do nc -vv -l -p 4444 -e /bin/bash; done 3
  3. pam backdoor ∙ Çalışan bir process yok ∙ Dinlenen bir

    port yok ∙ Gerçek kullanıcının parolası değiştirilmiyor ∙ Dosya tabanlı önlem yoksa anlaşılması çok zor 4
  4. pam backdoor - 3 ./configure && make /bin/cp -rf pam_unix.so

    /lib/security/pam_unix.so stat -c ’%z’ /lib/security/pam_ftp.so touch -d ’2015-06-08 14:49:01.856669712 +0300’ \ /lib/security/pam_unix.so rm -rf Linux-PAM.1.1.1 6
  5. the ken thompson hack ∙ İlk defa ”Reflections On Trusting

    Trust” konuşmasında paylaşıldı ∙ Derleyicinin login fonksiyonlarını gördüğünde içerisine backdoor yerleşmesine dayanıyor ∙ Çeşitli geliştirilmeleri mevcut, örneğin bu işlemi derleyicinin kendini derleme aşamasına taşıma ∙ Gerçek hayatta kullanan kişi sayısı çok az 7
  6. pre-compile ∙ Uygulamaları modifiye edip tekrar derleme en basit tekniklerden

    birisi ∙ LD_PRELOAD ile kütüphane bağlama tekniği de sıkça kullanılmakta ∙ Her zaman kaynak kod’a erişim olmaması en zayıf noktası 9
  7. direct code injection ∙ Çalışan uygulamalara zarar vermeden zararlı kodun

    eklenmesi ile gerçekleşir ∙ Uygulama içerisinde yer alan şifreleri toplamak veya backdoor bırakmak için kullanılabilir ∙ Tespiti çok zordur çünkü yeni bir uygulama çalıştırılmamıştır ∙ Sunucunun resetlenmesi ile kaybolur 10
  8. direct code injection 4 ∙ Hedef uygulamaya attach olunup, durdurulur

    ∙ Zararlı kod eklenir ve deattach olunup, yeniden çalıştırılır ∙ Shellcode eklemek yerine .SO dosyası yüklemesi daha kolay bir tercih 13
  9. user-land ∙ Yazılması ve kullanımı kolay ∙ Daha fazla işlevselliğe

    sahip ∙ Tespiti de kullanımı kadar kolay ∙ Yetkisiz kullanıcılar ile de çalıştırılabilir ∙ Post-persistence aşamasında kolaylık sağlıyor 16
  10. kernal-land ∙ Kernel sürümüne bağımlı ∙ Yazılması ve kullanımı zor,

    çok fazla bağımlılık var ∙ Post-persistence aşamasında zorluk çıkartabiliyor ∙ Yakalanması çok zor 17
  11. tty hijacking ∙ Sistem çağrılarının değiştirilmesi ile gerçekleştirilir ∙ READ

    ve WRITE çağrılarının kaydedilmesi yeterlidir ∙ Malware yazarlarının sıkça kullandığı bir tekniktir ∙ Uygulama katmanında da strace uygulaması ile benzer amaca ulaşılabilir 20
  12. application sniffing ∙ Amaç şifreleri plain-text olarak almaktır ∙ Güzel

    kurgulanırsa çok uzun süreler saklanabilir ∙ Saldırgan çalışan sisteme uygun yapıyı anlık olarak tasarlar ve uygular ∙ Şifreler uygulamanın ana parçası olan dosyaya html yorum satırları olarak eklenebilir ∙ İlgili dosyaya bir kez eriştikten sonra şifrelerin sıfırlanması da çok kullanılan bir tekniktir 23
  13. amaçlar ∙ Socks, HTTP proxy, proxy chaining, SSH ∙ DoS,

    DDoS ∙ Bitcoin mining ∙ Hash cracking, distributing hash cracking ∙ Brute force, distributing brute force 27
  14. referanslar ∙ Phrack 50/5, 58/4, 59/8, 68/9 ∙ http://vxheavens.com/lib/vrn00.html ∙

    http://c2.com/cgi/wiki?TheKenThompsonHack ∙ http://programmers.stackexchange.com/questions/184874/is- ken-thompsons-compiler-hack-still-a-threat ∙ 0daysecurity, Backdoor Pam Unix ∙ https://packetstormsecurity.com ∙ https://www.sans.org/reading-room/whitepapers/linux/linux- rootkits-beginners-prevention-removal-901 29