Embed Size (px)
Citation preview
PC Hack erkennen 3 - Rootkits & versteckte Trojaner aufspühren
Eine weitere Möglichkeit, das ein PC mit einem Trojaner infiziert sein kann, ist z.B., wenn ein
Backdoor Listener wie Netcat auf dem infiltriertem Windows Rechner in einem sogenannten
"Rootkit" versteckt ist und ausgeführt wird, sodass diese Prozesse wie auch deren Dateien (wie
z.B. nc.exe, rootkit.exe, etc.) von einem Windows Rechner aus nicht mehr so leicht zu finden bzw.
zu entdecken sind, zumindest nicht mit einfachen und herkömmlichen Methoden, wie wir am
folgenden Beispiel gleich sehen werden.
Da ein Rootkit die Aufgabe hat einen Trojaner und dessen Prozess zu verstecken, ist die Datei ansich
eigentlich nicht gefährlich, das gemeine ist aber eben, das weder das Windows Betriebssystem, noch die
herkömmlichen Virenscanner weder den Rootkit, noch den versteckten Trojaner mehr erkennen bzw.
finden werden und man somit überhaupt nicht merkt, das der Rechner einem Hackerangriff zum Opfer
gefallen ist! Daher sind solche Rootkits sehr mit Vorsicht zu geniessen.
In diesem Tutorial wird aufgezeigt, wie so ein Rootkit und eine damit versteckte Trojaner Datei auf einem
Windows System anstellt und wie man solche versteckte Rootkits und deren Prozesse Mithilfe von z.B.
Backtrack-Anwendungen auf die Schliche kommen kann. Dadurch ist es möglich, einen Virus, einen
Trojaner oder eine Spyware aufzuspühren, womit der eigene Rechner eventuell infiziert ist.
PC Hack erkennen 3 - Inhaltsverzeichnis
1. Windows Rechner infiltrieren & eine Meterpreter Session öffnen - Seite 2
2. Rootkit konfigurieren - Seite 2
3. Trojaner & Rootkit Dateien auf Windows Rechner kopieren - Seite 3
4. Rootkit starten - Seite 4
5. Die Auswirkungen des Rootkit - Seite 5
6. Remote Verbindung aufbauen - Seite 6
7. Remote Verbindung checken - Seite 7
8. Prozesse & Dateien checken - Seite 8
9. Rootkit stoppen & erkennen - Seite 9
10. Tips & Tricks - Seite 9
© wifi4free Seite 1
1. Windows Rechner infiltrieren & eine Meterpreter Session öffnen
Zuerst verschaffen wir uns also Zutritt zu einem Windows System (in unserem Beispiel ein XP) und stellen
eine Verbindung, bzw. eine Meterpreter Session her um die benötigten Dateien (die Rootkit & Trojaner
Datei) auf den Windows Rechner zu kopieren (genaue Anleitung unter Tips & Tricks)
2. Rootkit konfigurieren
wie man sieht soll der Prozess des Trojaner (nc.exe), sowie dessen Startbefehl damit die Datei ausgeführt
wird, mit dem Rootkit in dem infiltriertem Windows-Betriebssystem versteckt werden.
3. Trojaner & Rootkit Dateien auf den Windows Rechner kopieren
3.1 upload nc.exe, hxdef100.exe & hxdef100.ini
3.3
Kontrolle auch auf dem Windows Rechner selber, die Dateien sind also vorhanden!
5. Die Auswirkungen des Rootkit
5.2
auch auf dem Windows Rechner kann man die Dateien nicht mehr entdecken!
Wie wir später noch sehen werden, können die Dateien sowie deren laufende Prozesse, auch mit anderen
normalen Mitteln nicht mit dem Windows Rechner gefunden, bzw. entdeckt oder auch gelöscht werden.
6. Remote Verbindung aufbauen
6.1
Schliessen wir nun die aktuelle Meterpreter Session und starten eine neue Verbindung mit dem Windows-
PC ,
und gehen erneut mit der Shell Konsole in das Windows Verzeichnis c:\
-> können wir die nun wieder sehen!
6.2
auch mit telnet kann nun ganz einfach eine Verbindung aufgebaut werden -> telnet ip-victim port
-> und auch hier können wir die Dateien in der Shell Konsole sehen
© wifi4free Seite 6
7. Remote Verbindung checken
7.1
mit netstat -ano wird die hergestellte Verbindung des Windows PC mit IP 192.168.1.35 von Port 100 auf
unserem 2. Rechner angezeigt (Backtrack/IP 192.168.1.36)
7.2
im Gegensatz zum Windows Rechner, hier werden wir nun regelrecht unser "blaues Wunder" erleben,
denn wenn wir hier in der CMD-Konsole "netstat -ano" eingeben wird keine hergestellte Verbindung
angezeigt, auch nichts auf Port 100, da wir diesen Port in der Rootkit Konfiguration ebenso versteckt
haben
© wifi4free Seite 7
9.3 nc.exe - der Trojaner bzw. sein laufender Prozess wird im Taskmanager angezeigt
auch wenn wir nun den Taskmanager starten, können wir diesmal die aktive nc.exe sehen
10. Tips & Tricks
10.1
Tutorial: Windows PC XP infiltrieren & eine Meterpreter-Session erzeugen
10.2
Tutorial: Rootkitscanner Gmer & Sophos Anti-Rootkit-Scanner anwenden um Trojaner & Malware
entdecken und löschen zu können
10.3
Downloadlink zur Backtrack Software
Impressum
PC Hack erkennen 3 - Rootkits & versteckte Trojaner aufspühren
© 2012 wifi4free
Alle Rechte vorbehalten.
Autor: jahfire
Dieses E-Book, einschließlich seiner Teile, ist urheberrechtlich geschützt und darf ohne Zustimmung des Autors nicht
vervielfältigt, wieder verkauft oder weitergegeben werden
© wifi4free Seite 9
