رفعت فيديو عن Linux rootkits وجربت بشكل عملي Reptile rootkit وناقشت جوانب اغلبها من وجه نظر الدفاع أو التحليل. خطوات تنزيل rootkit موجوده في الفيديو
ايضا شاركت بعض الاوراق والمصادر المفيده
youtube.com
ايضا شاركت بعض الاوراق والمصادر المفيده
youtube.com
مميزات reptile
1- لها القدره على الاختفاء تماما في النظام
2- تخفي ملفات اذا كان الاسم يحتوي على كلمه محدده مسبقا
3- تخفي اي process في النظام
4- اعطاء root عن تنفيذ امر معين
5- تتصل بالمهاجم reverse shell في فترات زمنيه محدده
1- لها القدره على الاختفاء تماما في النظام
2- تخفي ملفات اذا كان الاسم يحتوي على كلمه محدده مسبقا
3- تخفي اي process في النظام
4- اعطاء root عن تنفيذ امر معين
5- تتصل بالمهاجم reverse shell في فترات زمنيه محدده
من الاشياء الي لاحظتها
ان مثلا الاوامر لفتح الشيل او اغلاقه تبقى في bash history وهي فرصه للاكتشاف ايضا الlogs الاخرى موجوده لذلك هي فرصه كبيره للاكتشاف حتى وان كانت rootkit
بالنسبه ل Auth.log الrootkit لا تظهر ان اي process حصلت على root، بشكل عام لكل rootkit artifacts تتركها
ان مثلا الاوامر لفتح الشيل او اغلاقه تبقى في bash history وهي فرصه للاكتشاف ايضا الlogs الاخرى موجوده لذلك هي فرصه كبيره للاكتشاف حتى وان كانت rootkit
بالنسبه ل Auth.log الrootkit لا تظهر ان اي process حصلت على root، بشكل عام لكل rootkit artifacts تتركها
اما بالنسبه لل traffic اثناء استخدام reverse shell تظهر مشفره بس على الاقل نعرف ان في اتصال ببورت معين وايبي معين
لكن الاتصال مخفي في utilities الي تعطيك معلومات الاتصالات داخل النظام
لكن الاتصال مخفي في utilities الي تعطيك معلومات الاتصالات داخل النظام
بالنسبه لميزه اخفاء process الrootkit تستطيع اخفائها من process list لكن لا تخفي اي اشياء تقوم بها في النظام
مثلا لو في malicious process تقوم باتصالات معينه يتم اخفاء الاسم لكن لا يتم اخفاء الاتصال نفسه ونفس الشي لو عندها events اخرى
جربت في الفيديو مع nc ولم يتم اخفاء الاتصال
مثلا لو في malicious process تقوم باتصالات معينه يتم اخفاء الاسم لكن لا يتم اخفاء الاتصال نفسه ونفس الشي لو عندها events اخرى
جربت في الفيديو مع nc ولم يتم اخفاء الاتصال
في ورقتين ذكرتهم في نهايه الفيديو بالاضافه الى حلقه red canary عن rootkits
اخيرا الprocess injection مختلف تماما عن rootkit ربما اسوي فيديو ثاني ونشوف تطبيق Injection ونقارن الفكرتين
جاري تحميل الاقتراحات...