Уроки Как я RootKit загружал или же как загрузить драйвер без подписи


MKII

Уважаемый пользователь
Форумчанин
Регистрация
03.10.2022
Сообщения
256
Репутация
183
Для начала давайте разберемся что такое RootKit?
RootKit - это тип вредоносного программного обеспечения, который предоставляет хакерам доступ к целевым компьютерам. RootKit может скрывать свое присутствие, но оставаться активным. Как только они получают несанкционированный доступ к компьютерам, RootKit позволяют киберпреступникам красть личные данные и финансовую информацию, устанавливать вредоносное программное обеспечение или использовать компьютеры как часть ботнета для распространения спама и участия в DDoS-атаках. Название “RootKit” происходит от операционных систем Unix и Linux, где наиболее привилегированный аккаунт администратора называется “root”. Приложения, которые позволяют несанкционированный доступ root или admin к устройству, известны как "kit".

Для того что бы RootKit смог запуститься на пк жертвы, есть 2 варианта:
  1. Заплатить от 150$ за подпись драйвера
  2. Использовать маппер который с помощью уязвимого драйвера (на котором уже есть подпись) загрузит ваш RootKit.
Первый вариант нам не подходит, так-как сертификат могут забанить, да и вообще, зачем платить если мы можем это сделать бесплатно?)

Для второго варианта нам потребуется kdmapper, для примера можем взять этот
Данные варианты работают как на Win10, так и на Win11 (думаю на ОС версии ниже они тоже должны работать).
После того как у вас есть RootKit, вы можете перевести его в байты с помощью HxD, что бы вставить прям в маппер для удобства.
1694905331116.png

1694905359706.png
1 скриншот если не ошибаюсь, это уязвимый драйвер, а 2 наш руткит.
Далее дописываем сурс маппера так, что бы он дропал данные файлы в TEMP папку.
1694905608770.png
Получается примерно такое.
Далее просто запускаем на пк жертвы наш маппер и он сделает всё остальное за вас.


На этом всё, я упустил много вещей в статье, но думаю кому надо, тот сможет разобраться в этом.
Возможно если будет желание, то я напишу 2 часть по созданию RootKit'a, но это вряд-ли будет скоро, ибо я сам не совсем разбираюсь в создании драйверов и это был мой первый опыт в написании руткитов.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 125
Репутация
8 243
Отличная тема, хочу отметить что уже есть готовые руткиты для винды, например вот, список:




Последний кстати прикольный, вот его функции:
  • DSE Bypass (No need to turn test signing on)
  • KPP Bypass
  • Hide processes
  • Hide ports (TCP/UDP)
  • Process permission elevation
  • Process protection
  • Shellcode injector (Unkillable shellcode. Even if process dies, shellcode can still run)
  • (TODO) Hide files/directories
  • (TODO) Hide registry keys
Ахренительный руткит:
  • Process hiding and unhiding
  • Process elevation
  • Process protection (anti-kill and dumping)
  • Bypass pe-sieve
  • Thread hiding
  • Thread protection (anti-kill)
  • File protection (anti-deletion and overwriting)
  • File hiding
  • Registry keys and values protection (anti-deletion and overwriting)
  • Registry keys and values hiding
  • Querying currently protected processes, threads, files, registry keys and values
  • Arbitrary kernel R/W
  • Function patching
  • Built-in AMSI bypass
  • Built-in ETW patch
  • Process signature (PP/PPL) modification
  • Can be reflectively loaded
  • Shellcode Injection
    • APC
    • NtCreateThreadEx
  • DLL Injection
    • APC
    • NtCreateThreadEx
  • Querying kernel callbacks
    • ObCallbacks
    • Process and thread creation routines
    • Image loading routines
    • Registry callbacks
  • Removing and restoring kernel callbacks
  • ETWTI tampering
В качестве дополнения мапер:
 
Последнее редактирование:

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 125
Репутация
8 243
Предлагаю в этой теме также выгладывать готовые сорцы руткитов.)
 

Spectrum735

Просветленный
Просветленный
Регистрация
21.02.2019
Сообщения
276
Репутация
149
Вот ещё относительно свежий
 

Spectrum735

Просветленный
Просветленный
Регистрация
21.02.2019
Сообщения
276
Репутация
149
Вот ещё интересный сэмпл с защитой процесса от закрытия
 

Spectrum735

Просветленный
Просветленный
Регистрация
21.02.2019
Сообщения
276
Репутация
149
Вот интересный ролик про разработку драйвера (на англ). Тут поясняется за kdmapper и как не использовать DriverObject и RegistryPath при мапинге
 
Верх Низ