Как RootKit загрузить или же как загрузить драйвер без подписи
Для начала давайте разберемся что такое RootKit?
RootKit - это тип вредоносного программного обеспечения, который предоставляет хакерам доступ к целевым компьютерам. RootKit может скрывать свое присутствие, но оставаться активным. Как только они получают несанкционированный доступ к компьютерам, RootKit позволяют киберпреступникам красть личные данные и финансовую информацию, устанавливать вредоносное программное обеспечение или использовать компьютеры как часть ботнета для распространения спама и участия в DDoS-атаках.
Название “RootKit” происходит от операционных систем Unix и Linux, где наиболее привилегированный аккаунт администратора называется “root”. Приложения, которые позволяют несанкционированный доступ root или admin к устройству, известны как "kit".
Для того что бы RootKit смог запуститься на пк жертвы, есть 2 варианта:
Для второго варианта нам потребуется kdmapper, для примера можем взять этот
Данные варианты работают как на Win10, так и на Win11 (думаю на ОС версии ниже они тоже должны работать).
После того как у вас есть RootKit, вы можете перевести его в байты с помощью HxD, что бы вставить прям в маппер для удобства.
1 скриншот если не ошибаюсь, это уязвимый драйвер, а 2 наш руткит.
Далее дописываем сурс маппера так, что бы он дропал данные файлы в TEMP папку.
Получается примерно такое.
Далее просто запускаем на пк жертвы наш маппер и он сделает всё остальное за вас.
На этом всё, я упустил много вещей в статье, но думаю кому надо, тот сможет разобраться в этом.
Возможно если будет желание, то я напишу 2 часть по созданию RootKit'a, но это вряд-ли будет скоро, ибо я сам не совсем разбираюсь в создании драйверов и это был мой первый опыт в написании руткитов.
Также есть готовые руткиты для винды, например вот, список:
Последний кстати прикольный, вот его функции:
В качестве дополнения мапер:
Вот ещё относительно свежий
Вот ещё интересный сэмпл с защитой процесса от закрытия
RootKit - это тип вредоносного программного обеспечения, который предоставляет хакерам доступ к целевым компьютерам. RootKit может скрывать свое присутствие, но оставаться активным. Как только они получают несанкционированный доступ к компьютерам, RootKit позволяют киберпреступникам красть личные данные и финансовую информацию, устанавливать вредоносное программное обеспечение или использовать компьютеры как часть ботнета для распространения спама и участия в DDoS-атаках.
Название “RootKit” происходит от операционных систем Unix и Linux, где наиболее привилегированный аккаунт администратора называется “root”. Приложения, которые позволяют несанкционированный доступ root или admin к устройству, известны как "kit".
Для того что бы RootKit смог запуститься на пк жертвы, есть 2 варианта:
- Заплатить от 150$ за подпись драйвера
- Использовать маппер который с помощью уязвимого драйвера (на котором уже есть подпись) загрузит ваш RootKit.
Для второго варианта нам потребуется kdmapper, для примера можем взять этот
Чтобы увидеть нужно авторизоваться или зарегистрироваться.
Данные варианты работают как на Win10, так и на Win11 (думаю на ОС версии ниже они тоже должны работать).
После того как у вас есть RootKit, вы можете перевести его в байты с помощью HxD, что бы вставить прям в маппер для удобства.
1 скриншот если не ошибаюсь, это уязвимый драйвер, а 2 наш руткит.
Далее дописываем сурс маппера так, что бы он дропал данные файлы в TEMP папку.
Получается примерно такое.
Далее просто запускаем на пк жертвы наш маппер и он сделает всё остальное за вас.
На этом всё, я упустил много вещей в статье, но думаю кому надо, тот сможет разобраться в этом.
Возможно если будет желание, то я напишу 2 часть по созданию RootKit'a, но это вряд-ли будет скоро, ибо я сам не совсем разбираюсь в создании драйверов и это был мой первый опыт в написании руткитов.
Также есть готовые руткиты для винды, например вот, список:
Чтобы увидеть нужно авторизоваться или зарегистрироваться.
Чтобы увидеть нужно авторизоваться или зарегистрироваться.
Чтобы увидеть нужно авторизоваться или зарегистрироваться.
Последний кстати прикольный, вот его функции:
- DSE Bypass (No need to turn test signing on)
- KPP Bypass
- Hide processes
- Hide ports (TCP/UDP)
- Process permission elevation
- Process protection
- Shellcode injector (Unkillable shellcode. Even if process dies, shellcode can still run)
- (TODO) Hide files/directories
- (TODO) Hide registry keys
Чтобы увидеть нужно авторизоваться или зарегистрироваться.
- Process hiding and unhiding
- Process elevation
- Process protection (anti-kill and dumping)
- Bypass pe-sieve
- Thread hiding
- Thread protection (anti-kill)
- File protection (anti-deletion and overwriting)
- File hiding
- Registry keys and values protection (anti-deletion and overwriting)
- Registry keys and values hiding
- Querying currently protected processes, threads, files, registry keys and values
- Arbitrary kernel R/W
- Function patching
- Built-in AMSI bypass
- Built-in ETW patch
- Process signature (PP/PPL) modification
- Can be reflectively loaded
- Shellcode Injection
- APC
- NtCreateThreadEx
- DLL Injection
- APC
- NtCreateThreadEx
- Querying kernel callbacks
- ObCallbacks
- Process and thread creation routines
- Image loading routines
- Registry callbacks
- Removing and restoring kernel callbacks
- ETWTI tampering
В качестве дополнения мапер:
Чтобы увидеть нужно авторизоваться или зарегистрироваться.
Вот ещё относительно свежий
Чтобы увидеть нужно авторизоваться или зарегистрироваться.
Вот ещё интересный сэмпл с защитой процесса от закрытия
Чтобы увидеть нужно авторизоваться или зарегистрироваться.
- Следующая страница цикла: Обход AMSI
- Предыдущая статья цикла: Огромная база исходников современных вирусов для разных платформ
