Оригинальная статья: https://www.freebuf.com/articles/endpoint/274045{.}html
Переведенно специально для xss.pro
r77-Rootkit - это мощный бесфайловый Ring 3 Rootkit, который поставляется с полным набором инструментов безопасности и механизмов постоянства, позволяющих скрывать такие операции и задачи, как процессы, файлы и сетевые соединения.
r77 способен скрыть следующее:
Файлы, каталоги, соединения, запланированные задачи;
Процессы;
Использование процессора;
Ключи и значения реестра;
Службы;
TCP и UDP соединения;
Инструмент совместим с 32 и 64 битными версиями Windows 7, а также Windows 10.
Все объекты, с префиксом "$77", будут скрыты:
Система динамической конфигурации позволяет широкому кругу исследователей скрывать процессы по PID или sip into, файловые системы по полному пути или TCP и UDP соединения, указывая порты:
Информация о конфигурации хранится в "HKEY_LOCAL_MACHINE\SOFTWARE\$77config" и может быть записана любым процессом в непривилегированном состоянии. DACL для этого ключа установлен таким образом, что полный доступ может быть предоставлен любому пользователю.
Ключ "$77config" автоматически скрывается после внедрения Rootkit в реестр.
r77 может быть установлен напрямую с помощью отдельного "Install.exe". Инструмент установки включит службу r77 до того, как пользователь войдет в систему, и фоновый процесс будет внедрять команды во все текущие запущенные и последующие процессы. Здесь используются два процесса для внедрения 32- и 64-битных процессов соответственно, оба из которых могут быть скрыты с помощью настроенной системы и PID.
Программа "Uninstall.exe" отвечает за удаление r77 из системы и отвязывание Rootkit от всех процессов.
Rootkit будет находиться в памяти системы и не будет записывать никаких файлов на жесткий диск, это достигается в несколько этапов.
Этап 1
Программа установки создает два запланированных задания для 32- и 64-битных служб r77. Запланированные задания должны хранить файлы $77svc32.job и $77svc64.job, которые являются единственным исключением из концепции безфайловости. Однако после запуска Rootkit запланированные задачи также будут скрыты префиксом.
Запланированное задание откроет "powershell.exe" со следующей командой:
[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey('SOFTWARE').GetValue('$77stager')).EntryPoint. Invoke($Null,$Null)
Эта команда является встроенной и не требует сценария .ps1. Здесь исполняемый файл C# загружается из реестра и выполняется в памяти с помощью функции PowerShell . Поскольку максимальная длина командной строки составляет 260 (MAX_PATH), места достаточно только для выполнения простой команды Assembly.Load().EntryPoint.Invoke().
Этап 2
Выполненный код C# - это stager, который создаст процесс r77 service, используя технику Process Hollowing. r77 service - это родной исполняемый файл, который продолжает компилироваться в 32 и 64-битной архитектуре соответственно ning. Родительский процесс устанавливается как winlogon.exe для дополнительной обфускации. Кроме того, оба процесса скрыты по ID и не видны в диспетчере задач.
Никакой исполняемый файл или DLL никогда не хранится на диске. stager хранится в реестре и загружает исполняемый файл службы r77 из своих ресурсов.
Тестовая консоль может быть использована для внедрения r77 в отдельные процессы или для связи с процессами, связанными с Rootkit по адресу
Скачать инструмент
r77 Rootkit 1.2.0.zip: https://bytecode77.com/downloads/r77Rootkit 1.2.0.zip (пароль для распаковки: bytecode77)
Адрес проекта
r77-Rootkit: https://github.com/bytecode77/r77-rootkit
Ресурсы
https://bytecode77.com/r77-rootkit
---------------------------
Ниже прикрепил документацию
